El CERT Coordination Center (CERT/CC) de la Universidad Carnegie Mellon ha emitido una advertencia crítica sobre una falla de seguridad en el Microchip Advanced Software Framework (ASF). Esta vulnerabilidad, rastreada como CVE-2024-7490, es un problema de desbordamiento de pila vinculado a la implementación del servidor tinydhcp dentro del ASF, lo que permite potencialmente a los atacantes ejecutar código de forma remota.
La falla se origina en una validación de entrada inadecuada en la implementación DHCP del ASF. Una solicitud DHCP especialmente diseñada puede provocar un desbordamiento de pila, lo que genera preocupaciones entre los desarrolladores y usuarios de la tecnología de Microchip. CERT/CC destacó la gravedad del problema, señalando su presencia en código centrado en IoT utilizado en numerosos dispositivos a nivel mundial.
La explotación de esta vulnerabilidad es alarmantemente simple; los atacantes pueden enviar un solo paquete de solicitud DHCP a una dirección multicast, lo que lo hace accesible para actores maliciosos. Las versiones afectadas incluyen ASF 3.52.0.2574 y todas las iteraciones anteriores, con riesgos adicionales para los desarrolladores que utilizan forks del servidor tinydhcp alojados en plataformas como GitHub.
El Microchip Advanced Software Framework es una biblioteca gratuita y de código abierto diseñada para microcontroladores, utilizada a lo largo de varias etapas del ciclo de vida del producto. Sin embargo, el software ya no cuenta con el apoyo activo de Microchip, lo que complica la situación para los usuarios que dependen de versiones obsoletas.
Descubierta por Andrue Coombes de Amazon Element55, la prevalencia de la falla en aplicaciones IoT sugiere que podría afectar a innumerables dispositivos que utilizan la tecnología de Microchip. El riesgo de seguridad que plantea CVE-2024-7490 es significativo, ya que los atacantes podrían explotar esta vulnerabilidad para manipular sistemas, desplegar malware o causar daños sustanciales.
Dada la reciente historia de Microchip de un ataque de ransomware que comprometió activos de datos significativos, la urgencia de mejorar las medidas de ciberseguridad se ha intensificado, especialmente para las empresas que utilizan software obsoleto o no soportado.
Se aconseja encarecidamente a los usuarios del ASF de Microchip que tomen medidas inmediatas. El CERT/CC recomienda migrar a una solución de software actualmente soportada, ya que no hay una solución inmediata disponible para la vulnerabilidad identificada, aparte de reemplazar el servicio tinydhcp por una alternativa que no comparta la misma falla.