Le CERT Coordination Center (CERT/CC) de l'Université Carnegie Mellon a émis un avertissement critique concernant une vulnérabilité dans le Microchip Advanced Software Framework (ASF). Cette vulnérabilité, suivie sous le nom CVE-2024-7490, est un problème de débordement de pile lié à l'implémentation du serveur tinydhcp dans l'ASF, permettant potentiellement aux attaquants d'exécuter du code à distance.
Le défaut provient d'une validation des entrées inadéquate dans l'implémentation DHCP de l'ASF. Une requête DHCP spécialement conçue peut déclencher un débordement de pile, suscitant des inquiétudes chez les développeurs et les utilisateurs de la technologie Microchip. Le CERT/CC a souligné la gravité du problème, notant sa présence dans du code centré sur l'IoT utilisé dans de nombreux appareils à l'échelle mondiale.
L'exploitation de cette vulnérabilité est alarmante par sa simplicité ; les attaquants peuvent envoyer un seul paquet de demande DHCP à une adresse multicast, le rendant accessible aux acteurs malveillants. Les versions affectées incluent l'ASF 3.52.0.2574 et toutes les itérations antérieures, avec des risques supplémentaires pour les développeurs utilisant des forks du serveur tinydhcp hébergés sur des plateformes comme GitHub.
Le Microchip Advanced Software Framework est une bibliothèque libre et open-source conçue pour les microcontrôleurs, utilisée à travers diverses étapes des cycles de vie des produits. Cependant, le logiciel n'est plus activement soutenu par Microchip, compliquant la situation pour les utilisateurs s'appuyant sur des versions obsolètes.
Découvert par Andrue Coombes d'Amazon Element55, la prévalence du défaut dans les applications IoT suggère qu'il pourrait affecter d'innombrables appareils utilisant la technologie Microchip. Le risque de sécurité posé par le CVE-2024-7490 est significatif, car les attaquants pourraient exploiter cette vulnérabilité pour manipuler des systèmes, déployer des logiciels malveillants ou infliger des dommages substantiels.
Étant donné l'historique récent de Microchip d'une attaque par ransomware ayant compromis d'importants actifs de données, l'urgence d'améliorer les mesures de cybersécurité est accrue, en particulier pour les entreprises utilisant des logiciels obsolètes ou non pris en charge.
Les utilisateurs de l'ASF Microchip sont fortement conseillés d'agir immédiatement. Le CERT/CC recommande de migrer vers une solution logicielle actuellement prise en charge, car aucune solution immédiate n'est disponible pour la vulnérabilité identifiée, à part remplacer le service tinydhcp par une alternative ne partageant pas le même défaut.