Forscher der Firma NCC Group veröffentlicht vor kurzem die Ergebnisse der Zephyr-Projektaudits, Dies ist ein Echtzeit-Betriebssystem (RTOS), mit dem Geräte nach dem Konzept des "Internet der Dinge" (IoT) ausgestattet werden können. Zephyr wird unter Beteiligung von Intel entwickelt.
Zephyr bietet einen einzigen virtuellen Adressraum für alle Prozesse global gemeinsam genutzt (SASOS, Single Address Space Operating System). Der anwendungsspezifische Code wird mit einem auf eine bestimmte Anwendung zugeschnittenen Kernel kombiniert und bildet eine monolithische ausführbare Datei, die auf bestimmten Computern heruntergeladen und ausgeführt werden kann.
Alle Systemressourcen werden in der Kompilierungsphase festgelegt. Dies reduziert die Größe des Codes und erhöht die Produktivität. Nur die Kernelfunktionen, die zum Ausführen der Anwendung erforderlich sind, können in das Systemabbild aufgenommen werden.
Es ist bemerkenswert, dass unter den Hauptvorteilen Zephyr erwähnt Entwicklung mit Blick auf die Sicherheit. Es wird diskutiert, dass Alle Entwicklungsstufen durchlaufen die obligatorischen Stufen von Bestätigen Sie die Codesicherheit: Fuzzy-Tests, statische Analysen, Penetrationstests, Codeüberprüfungen, Backdoor-Bereitstellungsanalysen und Bedrohungsmodelle.
Über Schwachstellen
Die Prüfung ergab 25 Sicherheitslücken in Zephyr und eine Sicherheitslücke in MCUboot. Insgesamt wurden sie identifiziert 6 Schwachstellen im Netzwerkstapel, 4 im Kernel, 2 in der Befehlsshell, 5 in den Systemaufrufhandlern, 5 im USB-Subsystem und 3 im Firmware-Update-Mechanismus.
Zwei Probleme wurden einer kritischen Gefährdungsstufe zugeordnet, zwei: hoch, 9 mäßig, 9 - niedrig und 4 - zu berücksichtigen. Probleme Dies wirkt sich kritisch auf den IPv4-Stack und den MQTT-Parser aus, während wasZu den gefährlichen gehören USB-Massenspeicher und USB-DFU-Treiber.
Zum Zeitpunkt der Offenlegung von Informationen wurden nur für die 15 Sicherheitslücken Korrekturen vorbereitet Noch gefährlicher ist, dass immer noch Probleme behoben wurden, die zu einem Denial-of-Service oder einem damit verbundenen Ausfall von Mechanismen für zusätzlichen Kernelschutz führen.
Im IPv4-Stack der Plattform wurde eine remote ausgenutzte Sicherheitsanfälligkeit festgestellt, die zu einer Speicherbeschädigung führt, wenn auf bestimmte Weise geänderte ICMP-Pakete verarbeitet werden.
Ein weiteres ernstes Problem wurde im MQTT-Protokollparser q gefundenDies wird durch das Fehlen einer ordnungsgemäßen Überprüfung der Länge der Felder im Header verursacht und kann zur Ausführung von Remotecode führen. Weniger gefährliche Denial-of-Service-Probleme finden sich in der Implementierung des IPv6-Stacks und des CoAP-Protokolls.
Andere Probleme können lokal ausgenutzt werden Denial-of-Service oder Code-Ausführung zu verursachen auf der Kernel-Ebene. Die meisten dieser Sicherheitsanfälligkeiten hängen mit dem Fehlen einer ordnungsgemäßen Überprüfung der Argumente der Systemaufrufe zusammen und können zum Schreiben und Lesen beliebiger Bereiche des Kernelspeichers führen.
Die Probleme betreffen auch den Systemaufrufverarbeitungscode selbst - der Zugriff auf eine negative Systemaufrufnummer führt zu einem ganzzahligen Überlauf. UNDDer Kernel identifizierte auch Probleme bei der Implementierung des ASLR-Schutzes (Adressraum-Randomisierung) und der Mechanismus zum Installieren von Kanarienetiketten auf dem Stapel, wodurch diese Mechanismen unwirksam werden.
Viele Probleme betreffen den USB-Stack und einzelne Treiber. Ein Problem beim USB-Massenspeicher ermöglicht es Ihnen beispielsweise, einen Pufferüberlauf zu verursachen und Code auf Kernelebene auszuführen, wenn Sie das Gerät an einen kontrollierten USB-angreifenden Host anschließen.
Die Sicherheitsanfälligkeit in USB DFU, einem Treiber zum Herunterladen neuer Firmware über USB, ermöglicht es Ihnen, ein geändertes Firmware-Image ohne Verschlüsselung in den internen Flash eines Mikrocontrollers zu laden und den sicheren Startmodus mit Überprüfung der digitalen Signatur der Komponente zu umgehen. Darüber hinaus wurde der offene MCUboot-Bootloader-Code untersucht, bei dem eine ungefährliche Sicherheitsanfälligkeit festgestellt wurde, die bei Verwendung von Simple Management Protocol (SMP) über UART zu einem Pufferüberlauf führen kann.