Azure RTOS NetX Duo w wersjach 6.2.1 i wcześniejszych zawiera krytyczne podatności typu przepełnienie pamięci umożliwiające zdalne wykonanie kodu (RCE). Podatność jest szczególnie groźna, ponieważ dotyczy stosu sieciowego TCP/IP wbudowanego w systemy czasu rzeczywistego i urządzenia IoT, które często działają bez dodatkowych warstw ochrony.
▸ Pokaż oryginał (EN)
Azure RTOS NetX Duo is a TCP/IP network stack designed specifically for deeply embedded real-time and IoT applications. An attacker can cause remote code execution due to memory overflow vulnerabilities in Azure RTOS NETX Duo. The affected components include processes/functions related to icmp, tcp, snmp, dhcp, nat and ftp in RTOS v6.2.1 and below. The fixes have been included in NetX Duo release 6.3.0. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Podatności (CWE-787: out-of-bounds write, CWE-825: expired pointer dereference) występują w komponentach obsługujących protokoły sieciowe: ICMP, TCP, SNMP, DHCP, NAT oraz FTP. Atakujący może wysyłać odpowiednio spreparowane pakiety sieciowe, które powodują przepełnienie bufora poza jego granicami lub dostęp do nieprawidłowego obszaru pamięci. Skutkiem jest możliwość przejęcia kontroli nad przepływem wykonania kodu w urządzeniu docelowym bez jakiejkolwiek interakcji użytkownika i bez wcześniejszego uwierzytelnienia.
Atakujący może zdalnie wykonać dowolny kod (RCE) na podatnym urządzeniu, co w praktyce oznacza pełne przejęcie kontroli nad systemem wbudowanym lub urządzeniem IoT, w tym możliwość naruszenia poufności, integralności i dostępności danych oraz funkcji urządzenia.
Należy zaktualizować Azure RTOS NetX Duo do wersji 6.3.0 lub nowszej, w której poprawki zostały uwzględnione. Producent nie wskazuje żadnych alternatywnych obejść — aktualizacja jest jedynym zalecanym działaniem.
Azure RTOS NetX Duo w wersji 6.2.1 i wcześniejszych — komponenty obsługujące protokoły ICMP, TCP, SNMP, DHCP, NAT oraz FTP
Podatność dotyczy systemów głęboko wbudowanych (embedded) i IoT, które często charakteryzują się utrudnionym procesem aktualizacji oprogramowania układowego. Administratorzy powinni priorytetowo potraktować identyfikację urządzeń korzystających z tej biblioteki w swoich środowiskach.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Rtos Netx Duo
OSMicrosoft< 6.3.0
Powiązane podatności
RCE przez przepełnienie pamięci w Azure RTOS NetX Duo (SNMP, SMTP, FTP, DTLS)
Azure RTOS NetX Duo is a TCP/IP network stack designed specifically for deeply embedded real-time and IoT appl...
Azure RTOS NetX Duo is a TCP/IP network stack designed specifically for deeply embedded real-time and IoT appl...
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server