按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

微軟發現多種IoT裝置漏洞,影響遍及製造、醫療、大型企業網路

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-05-14
  • 點閱次數:1751
微軟發現多種 IoT 裝置漏洞,影響遍及製造、醫療、大型企業網路 TWCERT/CC

微軟旗下的資安研究團隊,發現多達25個IoT裝置與OT裝置的漏洞,影響範圍遍及多種重要產業。

微軟旗下Azure雲端服務的資安研究團隊Section 52,日前發現多達25個IoT(Internetof Things)裝置與OT(Operational Technology)裝置的漏洞,影響範圍遍及製造業、醫療產業及大型企業等多種重要產業的網路、裝置與製造系統。

據微軟表示,這些漏洞共有25個不同的CVE編號,合稱為「BadAlloc」;駭侵者可以利用這些漏洞,在各種IoT與OT裝置上誘發記憶體配置錯誤,藉以在這些裝置上遠端執行任意程式碼。

這些記憶體配置錯誤造成的RCE資安漏洞,廣泛存在於各種即時作業系統(Real-Time Operating System, RTOS)、嵌入式裝置的軟體開發套件(SDK)與C語言的標準程式庫(Libc)等。

此外,微軟也在第一時間通報美國國土安全部(DHS)與各裝置製造商,DHS旗下的資安主管機關網路安全暨基礎設施安全局(Cybersecirity and Infrastructure Security Agency, CISA)也發布資安通報,列出所有含有這批BacAlloc漏洞的裝置與軟體開發套件,其中包括Google Cloud IoT Device SDK 、TI SimpleLink、ARM、三星Tizen RT RTOS、Amazon FreeRTOS、NXP MQX、Media Tek LinkIt SDK、Windriver等網路產品軟體25項。

微軟指出,由於這些IoT與OT裝置的使用範圍極為廣泛,製造維護廠家眾多,因此難以全面更新並防堵漏洞,但建議可取得更新之產品用戶,應立即更新至最新版本,以免漏洞遭有心人士利用而造成用戶被駭。

  • 建議採取資安強化措施

雖然目前微軟尚未觀察到任何濫用這批漏洞而行的攻擊事件,但為避免接下來發生大規模攻擊事件,微軟建議這類產品用戶可以:

  1. 透過官方釋出已公告之更新版檔案,立即進行更新。
  2. 若是無法更新產品,也應嚴加防範,並且減少這類產品直接曝露在Internet上的程度,並且將內部網路分區隔開,避免及縮小惡意軟體在內網散布的範圍。如果需要遠端存取這些裝置,就必須使用安全連線。
回頁首