Zveřejnili to vědci ze společnosti NCC Group nedávno výsledky auditů projektu Zephyr, což je operační systém v reálném čase (RTOS), jehož cílem je vybavit zařízení podle konceptu „internetu věcí“ (IoT). Zephyr je vyvíjen za účasti společnosti Intel.
Zephyr poskytuje jeden virtuální adresní prostor pro všechny procesy globální sdílené (SASOS, operační systém s jedním adresovým prostorem). Kód pro konkrétní aplikaci je kombinován s jádrem přizpůsobeným pro konkrétní aplikaci a tvoří monolitický spustitelný soubor ke stažení a spuštění na určitých počítačích.
Všechny systémové prostředky jsou určeny ve fázi kompilace, což zmenšuje velikost kódu a zvyšuje produktivitu. Do obrazu systému lze zahrnout pouze funkce jádra, které jsou nutné ke spuštění aplikace.
Je pozoruhodné, že mezi hlavní výhody Zephyr zmínil vývoj s ohledem na bezpečnost. Tvrdí se, že Všechny fáze vývoje procházejí povinnými fázemi potvrďte zabezpečení kódu: fuzzy testování, statická analýza, penetrační testování, kontrola kódu, analýza nasazení backdooru a modelování hrozeb.
O zranitelnostech
Audit odhalil 25 zranitelností v Zephyru a 1 zranitelnost v MCUboot. Celkově byly identifikovány 6 chyb zabezpečení v síťovém zásobníku, 4 v jádře, 2 v příkazovém prostředí, 5 v obslužných programech systémových volání, 5 v subsystému USB a 3 v mechanismu aktualizace firmwaru.
K dvěma problémům byla přiřazena kritická úroveň nebezpečí, dvě: vysoká, 9 střední, 9 - nízká a 4 - zohlednit. Problémy kriticky ovlivnit zásobník IPv4 a analyzátor MQTT, zatímco coMezi nebezpečné patří USB velkokapacitní paměť a ovladače USB DFU.
V době vydání informací byly opravy připraveny pouze pro 15 chyb zabezpečení nebezpečnější, stále existují problémy, které byly vyřešeny, což vedlo k odmítnutí služby nebo souvisejícímu selhání mechanismů pro další ochranu jádra.
V zásobníku platformy IPv4 byla identifikována vzdáleně zneužitá chyba zabezpečení, která při určitém způsobu úpravy paketů ICMP vedla k poškození paměti.
Další závažný problém byl nalezen v analyzátoru protokolu MQTT, qJe to způsobeno nedostatkem řádného ověření délky polí v záhlaví a může to vést ke vzdálenému spuštění kódu. Méně nebezpečné problémy s odmítnutím služby se nacházejí v zásobníku IPv6 a implementaci protokolu CoAP.
Jiné problémy lze využít místně způsobit odmítnutí služby nebo spuštění kódu na úrovni jádra. Většina z těchto chyb zabezpečení souvisí s nedostatkem řádných kontrol argumentů systémových volání a může vést k zápisu a čtení libovolných oblastí paměti jádra.
Problémy také pokrývají samotný kód zpracování systémového volání - přístup k zápornému číslu systémového volání vede k přetečení celého čísla. AJádro také identifikovalo problémy při implementaci ochrany ASLR (randomizace adresního prostoru) a mechanismus pro instalaci kanárských štítků na zásobník, což činí tyto mechanismy neúčinnými.
Mnoho problémů ovlivňuje zásobník USB a jednotlivé ovladače. Například problém s velkokapacitním úložištěm USB vám umožňuje způsobit přetečení vyrovnávací paměti a spustit kód na úrovni jádra, když připojíte zařízení k kontrolovanému hostiteli, který útočí na USB.
Zranitelnost v USB DFU, ovladači pro stahování nového firmwaru přes USB, vám umožňuje načíst upravený obraz firmwaru do interního Flash mikroprocesoru bez použití šifrování a obejít režim bezpečného spuštění s ověřením digitálního podpisu součásti. Kromě toho byl studován otevřený zavaděčový kód MCUboot, ve kterém byla nalezena nebezpečná chyba zabezpečení, která by mohla vést k přetečení vyrovnávací paměti při použití protokolu SMP (Simple Management Protocol) přes UART.