Microchip Gelişmiş Yazılım Çerçevesi’nde (ASF) kritik bir güvenlik açığı ortaya çıkarıldı; bu açığın başarıyla istismar edilmesi durumunda uzaktan kod çalıştırılmasına yol açabileceği belirtildi.
Güvenlik açığı, şu şekilde izlendi: CVE-2024-7490maksimum 10.0 üzerinden 9.5 CVSS puanına sahiptir. ASF’nin tinydhcp sunucusunun uygulanmasında yeterli giriş doğrulamasının olmamasından kaynaklanan yığın tabanlı bir taşma güvenlik açığı olarak tanımlanmıştır.
“ASF kod tabanının herkese açık tüm örneklerinde, özel olarak hazırlanmış bir DHCP isteğinin, uzaktan kod yürütülmesine yol açabilecek yığın tabanlı bir taşmaya neden olmasına izin veren bir güvenlik açığı bulunmaktadır,” CERT Koordinasyon Merkezi (CERT/CC) söz konusu bir danışmada.
Yazılımın artık desteklenmediği ve IoT merkezli koda dayandığı göz önüne alındığında, CERT/CC bu güvenlik açığının “dünyanın birçok yerinde ortaya çıkma ihtimalinin yüksek” olduğu uyarısında bulundu.
Sorun, ASF 3.52.0.2574 ve yazılımın tüm önceki sürümlerini etkiliyor; kurum ayrıca tinydhcp yazılımının birden fazla çatalının da bu kusura maruz kalma olasılığının yüksek olduğunu belirtiyor.
Şu anda CVE-2024-7490 sorununu çözecek herhangi bir düzeltme veya hafifletme yöntemi bulunmuyor; ancak tinydhcp hizmetinin aynı sorunu yaşamayan başka bir hizmetle değiştirilmesi gerekiyor.
Gelişme, SonicWall Capture Labs’ın MediaTek Wi-Fi yonga setlerini etkileyen ciddi bir sıfır tıklama güvenlik açığını ayrıntılı olarak açıklamasının ardından geldi (CVE-2024-20017CVSS 9.8) sınır dışı yazma sorunu nedeniyle herhangi bir kullanıcı etkileşimi gerektirmeden uzaktan kod yürütülmesine olanak tanıyabilir.
Şirket, “Etkilenen sürümler arasında MediaTek SDK 7.4.0.1 ve önceki sürümleri ile OpenWrt 19.07 ve 21.02 yer alıyor” dedi. söz konusu“Bu, yönlendiriciler ve akıllı telefonlar da dahil olmak üzere çok çeşitli savunmasız cihazlar anlamına geliyor.”
“Güvenlik açığı, saldırgan tarafından kontrol edilen paket verilerinden doğrudan alınan ve sınır denetimi yapılmadan bir uzunluk değerinin bir bellek kopyasına yerleştirilmesi sonucu oluşan bir arabellek taşmasıdır. Bu arabellek taşması, sınır dışı bir yazma oluşturur.”
Bu güvenlik açığı için bir yama yayınlandı piyasaya sürülmüş Mart 2024’te MediaTek tarafından, istismar olasılığı artmış olsa da kamuya açık 30 Ağustos 2024 itibariyle bir kavram kanıtı (PoC) istismarının.