Forskere fra virksomheden NCC Group offentliggjorde for nylig resultaterne af Zephyr-projektets revisioner som er et realtids-operativsystem (RTOS), designet til at udstyre enheder i henhold til begrebet "tingenes internet" (IoT). Zephyr udvikles med deltagelse af Intel.
Zephyr giver et enkelt virtuelt adresseområde til alle processer delt globalt (SASOS, Single Address Space Operating System). Den applikationsspecifikke kode kombineres med en kerne, der er skræddersyet til en bestemt applikation, og danner en monolitisk eksekverbar fil, der kan downloades og køres på bestemte computere.
Alle systemressourcer bestemmes på kompileringsstadiet, hvilket reducerer kodens størrelse og øger produktiviteten. Kun kernefunktionerne, der kræves for at køre applikationen, kan medtages i systembilledet.
Det er bemærkelsesværdigt, at blandt de største fordele Zephyr nævnte udvikling med henblik på sikkerhed. Det hævdes, at Alle udviklingsstadier gennemgår de obligatoriske stadier af bekræft kodesikkerhed: fuzzy-test, statisk analyse, penetrationstest, kodegennemgang, bagdør-implementeringsanalyse og trusselmodellering.
Om sårbarheder
Revisionen afslørede 25 sårbarheder i Zephyr og 1 sårbarhed i MCUboot. I alt blev de identificeret 6 sårbarheder i netværksstakken, 4 i kernen, 2 i kommandoskallen, 5 i systemhåndteringssystemerne, 5 i USB-undersystemet og 3 i firmwareopdateringsmekanismen.
To problemer fik et kritisk fareniveau, to: høj, 9 moderat, 9 - lav og 4 - for at tage højde for. Problemer kritisk påvirker IPv4-stakken og MQTT-parseren, mens hvadFarlige inkluderer USB-masselagring og USB DFU-drivere.
På tidspunktet for frigivelse af oplysninger blev der udarbejdet rettelser til kun 15 sårbarheder mere farligt, er der stadig problemer, der er løst, hvilket fører til lammelsesangreb eller relateret fejl i mekanismer til yderligere kernebeskyttelse.
En fjernudnyttet sårbarhed er blevet identificeret i platformens IPv4-stack, hvilket fører til hukommelseskorruption, når ICMP-pakker, der er modificeret på en bestemt måde, behandles.
Et andet alvorligt problem blev fundet i MQTT-protokol-parseren, qDet skyldes manglen på korrekt verifikation af længden af felterne i overskriften og kan føre til udførelse af fjernkode. Mindre farlige denial of service-problemer findes i IPv6-stakken og implementeringen af CoAP-protokollen.
Andre problemer kan udnyttes lokalt at forårsage denial of service eller kodeudførelse på kerneniveau. De fleste af disse sårbarheder er relateret til manglen på korrekt kontrol af argumenterne for systemopkaldene og kan føre til skrivning og læsning af vilkårlige områder i kernehukommelsen.
Problemerne dækker også selve systemopkaldsbehandlingskoden - adgang til et negativt systemopkaldsnummer fører til et heltalsoverløb. OGKernen identificerede også problemer i implementeringen af ASLR-beskyttelse (adresserummet randomisering) og mekanismen til installation af kanariske etiketter på stakken, hvilket gør disse mekanismer ineffektive.
Mange problemer påvirker USB-stakken og individuelle drivere. For eksempel giver et USB-masselagringsproblem dig mulighed for at forårsage bufferoverløb og køre kode på kerneniveau, når du forbinder enheden til en kontrolleret USB-angribende vært.
Sårbarheden i USB DFU, en driver til download af ny firmware via USB, giver dig mulighed for at indlæse et modificeret firmwarebillede i den interne Flash på en mikrocontroller uden at bruge kryptering og omgå den sikre opstartstilstand med komponent digital signaturbekræftelse. Derudover blev MCUboot open bootloader-koden undersøgt, hvor der blev fundet en ikke-farlig sårbarhed, der kunne føre til et bufferoverløb, når man bruger Simple Management Protocol (SMP) via UART.