Kritischer Fehler in Microchip ASF gefährdet IoT-Geräte
Im Advanced Software Framework (ASF) von Microchip wurde eine schwerwiegende Sicherheitslücke entdeckt. Diese Schwachstelle hat das Potenzial, bei erfolgreicher Ausnutzung Remotecodeausführung zu ermöglichen. Angreifer können so aus der Ferne einen schädlichen Code auf einem betroffenen System ausführen.
Die Schwachstelle, die als CVE-2024-7490 verfolgt wird, hat einen CVSS-Score von 9,5 von maximal 10,0 und wird damit als schwerwiegende Sicherheitslücke eingestuft. Es handelt sich um eine stackbasierte Pufferüberlauf-Schwachstelle in der Implementierung des tinydhcp-Servers der ASF (Apache Software Foundation), die durch unzureichende Überprüfung der Eingabedaten entsteht.
Ein Pufferüberlauf tritt auf, wenn ein Programm mehr Daten in einen Puffer schreibt, als dieser verarbeiten kann. Dadurch werden benachbarte Speicherbereiche überschrieben. In diesem Fall kann die Lücke durch das Senden einer speziell gestalteten DHCP-Anfrage (Dynamic Host Configuration Protocol) ausgenutzt werden, die mehr Daten enthält, als der Puffer des tinydhcp-Servers aufnehmen kann.
Durch die Ausnutzung dieser Sicherheitslücke können Angreifer aus der Ferne Code ausführen, was bedeutet, dass sie möglicherweise Kontrolle über die betroffenen Systeme erlangen können, ohne physischen Zugang oder direkte Benutzerinteraktion zu benötigen. Die Auswirkungen könnten verheerend sein, insbesondere wenn die betroffenen Systeme kritische Infrastrukturen, industrielle Steuerungssysteme oder andere sicherheitsrelevante Anwendungen betreiben.
Laut dem CERT Coordination Center (CERT/CC) besteht in allen öffentlich zugänglichen Beispielen der ASF-Codebasis diese Sicherheitslücke, die es Angreifern ermöglicht, speziell präparierte DHCP-Anfragen zu senden. Die Schwachstelle betrifft ASF in der Version 3.52.0.2574 sowie alle vorherigen Versionen des Frameworks. Da ASF häufig in IoT-Geräten eingesetzt wird, könnte die Verwundbarkeit an vielen Stellen im öffentlichen Internet auftreten, also in einer Vielzahl von Produkten, die auf dieses Framework zurückgreifen. Problematisch ist außerdem, dass auch zahlreiche Abwandlungen (Forks) der tinydhcp-Software von dieser Sicherheitslücke betroffen sind.
Zum aktuellen Zeitpunkt gibt es keine Patches oder Mitigations, die CVE-2024-7490 beheben könnten. Die einzige Empfehlung ist, den tinydhcp-Dienst durch eine alternative Lösung zu ersetzen, die nicht die gleiche Sicherheitslücke aufweist.
Der Fall ist nicht der einzige im Zusammenhang mit kritischen IoT-Installationen. So haben etwa die SonicWall Capture Labs aktuell eine schwerwiegende Zero-Click-Schwachstelle in MediaTek-Wi-Fi-Chipsätzen (CVE-2024-20017, CVSS 9,8) detailliert beschrieben, die aufgrund eines Out-of-Bounds-Write-Problems die Ausführung von Remote-Code ohne Benutzerinteraktion ermöglichen könnte. „Die betroffenen Versionen umfassen die MediaTek SDK-Versionen 7.4.0.1 und früher sowie OpenWrt 19.07 und 21.02“, so das Unternehmen. „Das bedeutet, dass eine Vielzahl von Geräten anfällig ist, darunter Router und Smartphones. Bei der Schwachstelle handelt es sich um einen Pufferüberlauf, der dadurch entsteht, dass ein Längenwert direkt aus den vom Angreifer kontrollierten Paketdaten ohne Bounds-Checking entnommen und in einer Speicherkopie platziert wird. Dieser Pufferüberlauf führt zu einem Out-of-Bounds-Write.“ MediaTek hat im März 2024 einen Patch veröffentlicht, um die Sicherheitslücke zu beheben. Allerdings ist die Gefahr eines Angriffs seit dem 30. August 2024 gestiegen, da ein funktionierender Beispielcode (Proof-of-Concept) veröffentlicht wurde, der zeigt, wie die Schwachstelle ausgenutzt werden kann.