광범위한 IoT 및 OT 기기에 영향을 미치는 ‘BadAlloc’ 취약점 발견

 

 

Microsoft Finds 'BadAlloc' Flaws Affecting Wide-Range of IoT and OT Devices

 

지난 목요일 마이크로소프트의 연구원들이 산업, 의료, 기업 네트워크에서 사용되는 광범위한 IoT 및 OT 기기에 영향을 미치는 취약점 25개를 공개했습니다. 이 취약점을 악용할 경우 임의 코드를 실행하고, 치명적인 시스템을 중단시키는 것이 가능합니다.

 

마이크로소프트의 IoT 연구 그룹인 ‘Section 52’ Azure Defender에서는 아래와 같이 밝혔습니다.

 

“이 원격 코드 실행(RCE) 취약점은 CVE 25개 이상을 부여 받았으며, 소비자 및 의료 IoT, 운영 기술, 산업 제어 시스템 등 광범위한 도메인에 잠재적으로 영향을 미칠 수 있습니다.”

 

이 취약점은 널리 사용되는 실시간 운영 체제(RTOS), 임베디드 소프트웨어 개발 키트(SDK), C 표준 라이브러리(libc) 구현을 포괄하는 메모리 할당 기능에 뿌리를 두고 있기 때문에 모두 통틀어 “BadAlloc”이라 명명되었습니다.

 

이러한 메모리 할당 기능과 관련된 적절한 입력 유효성 검사가 부족할 경우 공격자가 힙 오버플로우를 통해 취약한 기기에서 악성코드를 실행할 수 있습니다.

 

이에 대해 미 CISA는 권고문을 통해 아래와 같이 밝혔습니다.

 

“이 취약점을 성공적으로 악용할 경우 충돌 또는 원격 코드 주입/실행과 같은 예기치 않은 결과를 낳을 수 있습니다.”

 

마이크로소프트와 CISA 모두 이 소프트웨어 취약점의 영향을 받는 총 기기의 수는 공개하지 않았습니다.

 

BadAlloc 취약점의 영향을 받는 장치 목록 전체는 아래와 같습니다.

 

- Amazon FreeRTOS, 버전 10.4.1

- Apache Nuttx OS, 버전 9.1.0

- ARM CMSIS-RTOS2, 2.1.3 이전 버전

- ARM Mbed OS, 버전 6.3.0

- ARM mbed-uallaoc, 버전 1.3.0

- Cesanta Software Mongoose OS, v2.17.0

- eCosCentric eCosPro RTOS, 버전 2.0.1 ~ 4.5.3

- Google Cloud IoT Device SDK, 버전 1.0.2

- Linux Zephyr RTOS, 2.4.0 이전 버전

- MediaTek LinkIt SDK, 4.6.1 이전 버전

- Micrium OS, 5.10.1 및 이전 버전

- Micrium uCOS II/uCOS III 1.39.0 및 이전 버전

- NXP MCUXpresso SDK, 2.8.2 이전 버전

- NXP MQX, 5.1 및 이전 버전

- Redhat newlib, 4.0.0 이전 버전

- RIOT OS, 버전 2020.01.1

- Samsung Tizen RT RTOS, 3.0.GBB 이전 버전

- TencentOS-tiny, 버전 3.1.0

- Texas Instruments CC32XX, 4.40.00.07 이전 버전

- Texas Instruments SimpleLink MSP432E4XX

- Texas Instruments SimpleLink-CC13XX, 4.40.00 이전 버전

- Texas Instruments SimpleLink-CC26XX, 4.40.00 이전 버전

- Texas Instruments SimpleLink-CC32XX, 4.10.03 이전 버전

- Uclibc-NG, 1.0.36 이전 버전

- Windriver VxWorks, 7.0 이전 버전

 

 

마이크로소프트는 현재까지 이 취약점이 악용되었다는 증거를 찾지 못했다고 밝혔습니다. 하지만 패치가 공개됨에 따라 공격자가 “patch diffing”이라는 기술을 통해 패치를 리버스 엔지니어링하여 이를 통해 취약한 소프트웨어 버전에 존재하는 취약점을 잠재적으로 무기화하는 것이 가능합니다.

 

CISA는 이러한 취약점의 악용을 최소화하기 위해 가능한 빠른 시일 내 업데이트를 적용하고, 방화벽을 세우고, 시스템 네트워크를 비즈네스 네트워크와 분리하고, 제어 시스템 장치의 노출을 줄여 인터넷에서 접근할 수 없도록 할 것을 권장했습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/04/microsoft-finds-badalloc-flaws.html

https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/

https://us-cert.cisa.gov/ics/advisories/icsa-21-119-04