Центр координации CERT (CERT/CC) при Университете Карнеги Меллон выпустил критическое предупреждение о уязвимости в Microchip Advanced Software Framework (ASF). Эта уязвимость, зарегистрированная как CVE-2024-7490, представляет собой проблему переполнения стека, связанную с реализацией сервера tinydhcp в ASF, что потенциально позволяет злоумышленникам выполнять удаленный код.
Ошибка возникает из-за недостаточной проверки входных данных в реализации DHCP в ASF. Специально подготовленный запрос DHCP может вызвать переполнение стека, что вызывает беспокойство у разработчиков и пользователей технологий Microchip. CERT/CC подчеркнул серьезность проблемы, отметив ее присутствие в коде, ориентированном на IoT, используемом во множестве устройств по всему миру.
Эксплуатация этой уязвимости удивительно проста; злоумышленники могут отправить один пакет запроса DHCP на адрес multicast, что делает его доступным для злонамеренных акторов. Подверженные версии включают ASF 3.52.0.2574 и все предыдущие итерации, с дополнительными рисками для разработчиков, использующих форки сервера tinydhcp, размещенные на таких платформах, как GitHub.
Microchip Advanced Software Framework — это бесплатная и открытая библиотека, предназначенная для микроконтроллеров, используемая на различных этапах жизненного цикла продукта. Однако программное обеспечение больше не поддерживается Microchip, что усложняет ситуацию для пользователей, полагающихся на устаревшие версии.
Обнаруженная Андрю Коумбсом из Amazon Element55, распространенность этой ошибки в приложениях IoT предполагает, что она может затронуть бесчисленные устройства, использующие технологии Microchip. Угроза безопасности, которую представляет CVE-2024-7490, значительна, так как злоумышленники могут воспользоваться этой уязвимостью для манипуляции системами, развертывания вредоносного ПО или нанесения значительного ущерба.
Учитывая недавнюю историю Microchip, когда произошла атака программ-вымогателей, в результате которой были скомпрометированы значительные данные, необходимость улучшения мер кибербезопасности становится еще более актуальной, особенно для компаний, использующих устаревшее или неподдерживаемое программное обеспечение.
Пользователям Microchip ASF настоятельно рекомендуется принять меры. CERT/CC рекомендует мигрировать на текущую поддерживаемую программную платформу, так как немедленного решения для выявленной уязвимости нет, кроме как заменить сервис tinydhcp на альтернативу, не имеющую аналогичных недостатков.