25 уязвимости в RTOS Zephyr, включително тези, използвани чрез ICMP пакет

Изследователи от NCC Group публикувано безплатни резултати от одит на проекта Зефир, развиващи се операционна система в реално време (RTOS), насочена към оборудване на устройства, които отговарят на концепцията за Интернет на нещата (IoT, Internet of Things). По време на проверката е установено 25 уязвимости в Zephyr и 1 уязвимост в MCUboot. Zephyr се разработва с участието на компаниите на Intel.

Бяха идентифицирани общо 6 уязвимости в мрежовия стек, 4 в ядрото, 2 в командната обвивка, 5 в манипулаторите на системни повиквания, 5 в USB подсистемата и 3 в механизма за актуализиране на фърмуера. Два проблема са оценени като критични, два са високи, 9 са умерени, 9 са ниски и 4 са за разглеждане. Критичните проблеми засягат IPv4 стека и MQTT анализатора, опасните засягат USB масовото хранилище и USB DFU драйверите. По време на разкриването на информацията бяха подготвени корекции само за 15 от най-опасните уязвимости; проблеми, водещи до отказ на услуга или свързани с недостатъци в допълнителни механизми за защита на ядрото, остават некоригирани.

В IPv4 стека на платформата е идентифицирана уязвимост, която може да се използва от разстояние, което води до повреда на паметта при обработка на ICMP пакети, модифицирани по определен начин. Друг сериозен проблем беше открит в анализатора на протокола MQTT, който е причинен от липса на правилна проверка на дължината на полето на заглавката и може да доведе до дистанционно изпълнение на код. По-малко тежки проблеми с отказ на услуга се срещат в IPv6 стека и изпълнението на протокола CoAP.

Други проблеми могат да бъдат експлоатирани локално, за да причинят отказ на услуга или да изпълнят код на ниво ядро. Повечето от тези уязвимости са свързани с липсата на правилни проверки на аргументите на системните повиквания и могат да доведат до записване и четене на произволни области от паметта на ядрото. Проблемите се простират и до самия код за обработка на системно повикване - извикването на отрицателен номер на системно повикване води до препълване на цяло число. Ядрото също така идентифицира проблеми при внедряването на ASLR защита (рандомизация на адресното пространство) и механизма за задаване на канарчета в стека, което прави тези механизми неефективни.

Много проблеми засягат USB стека и отделните драйвери. Например проблемите в USB паметта могат да причинят препълване на буфера и да изпълнят код на ниво ядро, когато устройството е свързано към USB хост, контролиран от атакуващия. Уязвимост в USB DFU, драйвер за зареждане на нов фърмуер през USB, ви позволява да заредите модифицирано изображение на фърмуера във вътрешната Flash на микроконтролера, без да използвате криптиране и заобикаляйки режима на защитено зареждане с проверка на компоненти с помощта на цифров подпис. Освен това беше проучен кодът на отворения буутлоудър MCUboot, в който е открита една доброкачествена уязвимост,
което може да доведе до препълване на буфера при използване на SMP (Simple Management Protocol) протокол през UART.

Спомнете си, че в Zephyr за всички процеси е предоставено само едно глобално споделено виртуално адресно пространство (SASOS, Single Address Space Operating System). Специфичният за приложението код се комбинира със специфично за приложението ядро, за да се образува монолитен изпълним файл, който може да се зарежда и изпълнява на специфичен хардуер. Всички системни ресурси се определят по време на компилиране, намалявайки размера на кода и увеличавайки производителността. Системният образ може да включва само тези функции на ядрото, които са необходими за стартиране на приложението.

Трябва да се отбележи, че сред основните предимства на Zephyr споменати развитие с оглед на безопасността. Одобреноче всички етапи на разработка преминават през задължителни етапи на потвърждаване на сигурността на кода: fuzzing тестване, статичен анализ, тест за проникване, преглед на кода, анализ на изпълнението на задната вратичка и моделиране на заплахи.

Източник: opennet.ru