微軟旗下Azure雲端服務的資安研究團隊Section 52,日前發現多達25個IoT(Internetof Things)裝置與OT(Operational Technology)裝置的漏洞,影響範圍遍及製造業、醫療產業及大型企業等多種重要產業的網路、裝置與製造系統。據研究人員表示,這些漏洞共有25個不同的CVE編號,合稱為「BadAlloc」;駭侵者可以利用這些漏洞,在各種IoT與OT裝置上誘發記憶體配置錯誤,藉以在這些裝置上遠端執行任意程式碼。這些記憶體配置錯誤造成的RCE資安漏洞,廣泛存在於各種即時作業系統(Real-Time Operating System, RTOS)、嵌入式裝置的軟體開發套件(SDK)與C語言的標準程式庫(Libc)等。
此外,微軟也在第一時間通報美國國土安全部(DHS)與各裝置製造商,DHS旗下的資安主管機關網路安全暨基礎設施安全局(Cybersecirity and Infrastructure Security Agency, CISA)也發布資安通報,列出所有含有這批BacAlloc漏洞的裝置與軟體開發套件,其中包括Google Cloud IoT Device SDK 、TI SimpleLink、ARM、三星Tizen RT RTOS、Amazon FreeRTOS、NXP MQX、Media Tek LinkIt SDK、Windriver等網路產品軟體25項。
微軟指出,由於這些IoT與OT裝置的使用範圍極為廣泛,製造維護廠家眾多,因此難以全面更新並防堵漏洞,但建議可取得更新之產品用戶,應立即更新至最新版本,以免漏洞遭有心人士利用而造成用戶被駭。