O vulnerabilitate critică de securitate a fost dezvăluită în Microchip Advanced Software Framework (ASF), care, dacă este exploatată cu succes, ar putea duce la execuția de cod la distanță (Remote Code Execution - RCE).
TL;DR
- Vulnerabilitate critică în Microchip ASF
- Permite execuția de cod la distanță (RCE)
- Evaluată cu un scor CVSS de 9.5 din 10
- Fără remedieri disponibile
Exploatarea vulnerabilității
Vulnerabilitatea, urmărită ca CVE-2024-7490, este descrisă ca o vulnerabilitate de tip stack-based overflow în implementarea serverului tinydhcp al ASF. Aceasta provine dintr-o lipsă de validare adecvată a intrărilor.
“Există o vulnerabilitate în toate exemplele publice disponibile ale codului ASF care permite ca o cerere DHCP special concepută să provoace un stack-based overflow ce poate duce la execuția de cod la distanță”, a declarat CERT Coordination Center (CERT/CC) într-un avertisment.
Impactul asupra dispozitivelor IoT
Având în vedere că software-ul nu mai este suportat și este bazat pe cod centrat pe IoT, CERT/CC a avertizat că această vulnerabilitate poate fi exploatată activ. Problema afectează ASF 3.52.0.2574 și toate versiunile anterioare ale software-ului, iar numeroase versiuni ale software-ului tinydhcp sunt susceptibile de a fi vulnerabile.
În prezent, nu există remedieri sau măsuri de atenuare pentru a aborda CVE-2024-7490, cu excepția înlocuirii serviciului tinydhcp cu unul care nu are aceeași problemă.
Sursa articolului:
https://thehackernews.com/2024/09/critical-flaw-in-microchip-asf-exposes.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
