研究表明1亿台物联网设备可能受零日漏洞影响


据行业媒体日前的报道,网络安全提供商Guardara公司的安全研究人员在EMQ公司的开源软件中发现了一个零日漏洞,该漏洞可能导致系统崩溃,并影响医疗设备的安全运行。

 
研究人员表示,在NanoMQ中发现了这一缺陷。NanoMQ是一个MQ遥测传输(MQTT)消息传递引擎和用于边缘计算的多协议消息总线,用于从智能手表、汽车传感器、火灾探测传感器等收集实时数据。
 
这种技术也被用于通过患者出院时的传感器和监测健康参数的运动检测传感器。该漏洞可能对依赖NanoMQ的互联物联网设备产生重大影响。
 
Guardana公司创始人兼首席技术官Zsolt Imre在GitHub上表示,问题在于MQTT数据包的长度。这种用于物联网设备的消息传递协议旨在成为一种极其轻量级的发布/订阅消息传递传输,用于以较小的代码占用空间和最小的网络带宽以连接远程设备。
 
Imre表示,当MQTT数据包长度被篡改并低于预期时,memcpy操作会收到一个size值,该值使源缓冲区位置指向未分配的内存区域。
 
Imre补充说:“问题似乎在于如何计算有效载荷长度。怀疑异常数据包长度‘msg_len’的值小于‘used_pos’,因此其减法结果为负数。然而,‘memcpy’预期大小为‘size_t’,这是无符号的。因此,由于将负数转换为‘size_t’,长度变成了非常大的正数。(在此概念证明的情况下为0xfffffffc)。”
 
Guardara指出,该缺陷可能会使数百万人的生命和重要财产处于危险之中。该漏洞是使用该公司开发的新测试工具发现的。
 
Guardara公司首席执行官Mitali Rakhit说,“尽管某些问题可能无法用于远程代码执行,但随着人们在日常生活中越来越依赖软件,根据具体情况,即使是一次崩溃也可能是致命的。由于软件消费世界的变化,因此可靠性和可用性至关重要。”
 
他表示,Guardara公司在发现这一漏洞之后,立即通过披露流程通知了EMQ公司,EMQ公司在一天内做出反应并解决了这个问题。
 
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。

未经允许不得转载:物联网的那些事 - Totiot » 研究表明1亿台物联网设备可能受零日漏洞影响