-
09/04/2020
-
93
-
618 bài viết
Contiki-NG IoT OS vá các lỗ hổng nghiêm trọng
Các nhà nghiên cứu đã xác định và giải quyết ba lỗ hổng nghiêm trọng trong Contiki-NG, hệ điều hành mã nguồn mở phổ biến cho các thiết bị IoT. Các lỗ hổng này có thể cho phép kẻ tấn công làm hỏng thiết bị hoặc thực thi mã độc.
Contiki-NG được thiết kế cho các thiết bị công suất thấp với tài nguyên hạn chế, khiến nó trở thành lựa chọn phổ biến cho các ứng dụng như hệ thống điều khiển công nghiệp, nhà thông minh và wearable (các thiết bị có thể được đeo trên cơ thể của người dùng và tích hợp các chức năng công nghệ thông tin và truyền thông). Các lỗ hổng được phát hiện ảnh hưởng đến các phiên bản Contiki-NG từ 4.9 trở xuống.
Các lỗ hổng bao gồm:
Bản vá cho CVE-2024-47181 có sẵn trong pull request #2962 và sẽ được đưa vào phiên bản Contiki-NG tiếp theo. Trong thời gian chờ đợi, các nhà phát triển có thể áp dụng thủ công bản vá này để giảm thiểu lỗ hổng.
Khi các thiết bị IoT ngày càng phổ biến, việc ưu tiên áp dụng các phương pháp bảo mật tốt nhất và nhanh chóng cập nhật phần mềm là điều rất quan trọng để giảm thiểu các rủi ro an ninh mạng.
Contiki-NG được thiết kế cho các thiết bị công suất thấp với tài nguyên hạn chế, khiến nó trở thành lựa chọn phổ biến cho các ứng dụng như hệ thống điều khiển công nghiệp, nhà thông minh và wearable (các thiết bị có thể được đeo trên cơ thể của người dùng và tích hợp các chức năng công nghệ thông tin và truyền thông). Các lỗ hổng được phát hiện ảnh hưởng đến các phiên bản Contiki-NG từ 4.9 trở xuống.
Các lỗ hổng bao gồm:
- CVE-2024-41125 (CVSS 8.4): Lỗ hổng đọc ngoài giới hạn (out-of-bounds) trong mô-đun Simple Network Management Protocol (SNMP), cho phép kẻ tấn công đọc thông tin nhạy cảm từ bộ nhớ.
- CVE-2024-41126 (CVSS 8.4): Lỗ hổng đọc ngoài giới hạn (out-of-bounds) khác trong mô-đun SNMP. Lỗ hổng này xảy ra khi giải mã tin nhắn và "có thể được kích hoạt khi gửi gói tin đến thiết bị chạy hệ điều hành Contiki-NG với SNMP được bật ". Tương tự CVE-2024-41125, lỗ hổng này có thể cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm.
- CVE-2024-47181 (CVSS 7.5): Lỗ hổng truy cập bộ nhớ không liên kết trong triển khai giao thức định tuyến cho mạng công suất thấp và mất dữ liệu (RPL) có thể dẫn đến sự cố hệ thống.
Bản vá cho CVE-2024-47181 có sẵn trong pull request #2962 và sẽ được đưa vào phiên bản Contiki-NG tiếp theo. Trong thời gian chờ đợi, các nhà phát triển có thể áp dụng thủ công bản vá này để giảm thiểu lỗ hổng.
Khi các thiết bị IoT ngày càng phổ biến, việc ưu tiên áp dụng các phương pháp bảo mật tốt nhất và nhanh chóng cập nhật phần mềm là điều rất quan trọng để giảm thiểu các rủi ro an ninh mạng.
Theo Security Online