Các nhà nghiên cứu từ công ty NCC Group đã xuất bản gần đây kết quả kiểm toán dự án Zephyr, vốn là hệ điều hành thời gian thực (RTOS), được thiết kế để trang bị cho các thiết bị theo khái niệm “Internet vạn vật” (IoT). Zephyr đang được phát triển với sự tham gia của Intel.
Zephyr cung cấp một không gian địa chỉ ảo duy nhất cho tất cả các quy trình chia sẻ toàn cầu (SASOS, Hệ điều hành không gian địa chỉ đơn). Mã dành riêng cho ứng dụng được kết hợp với một hạt nhân được thiết kế riêng cho một ứng dụng cụ thể và tạo thành một tệp thực thi nguyên khối để tải xuống và chạy trên một số máy tính nhất định.
Tất cả tài nguyên hệ thống được xác định ở giai đoạn biên dịch, làm giảm kích thước của mã và tăng năng suất. Chỉ các tính năng hạt nhân được yêu cầu để chạy ứng dụng mới có thể được đưa vào hình ảnh hệ thống.
Đáng chú ý là trong số những lợi thế chính Zephyr đã đề cập phát triển với tầm quan trọng về an toàn. Người ta lập luận rằng Tất cả các giai đoạn phát triển đều trải qua các giai đoạn bắt buộc của xác nhận bảo mật mã: kiểm tra mờ, phân tích tĩnh, kiểm tra thâm nhập, xem xét mã, phân tích triển khai cửa sau và mô hình hóa mối đe dọa.
Về lỗ hổng bảo mật
Cuộc kiểm tra đã tiết lộ 25 lỗ hổng trong Zephyr và 1 lỗ hổng trong MCUboot. Tổng cộng, chúng đã được xác định 6 lỗ hổng trong ngăn xếp mạng, 4 trong nhân, 2 trong trình bao lệnh, 5 trong trình xử lý cuộc gọi hệ thống, 5 trong hệ thống con USB và 3 trong cơ chế cập nhật chương trình cơ sở.
Hai vấn đề được chỉ định mức nguy hiểm nghiêm trọng, hai: cao, 9 vừa phải, 9 - thấp và 4 - cần tính đến. Các vấn đề ảnh hưởng nghiêm trọng đến ngăn xếp IPv4 và trình phân tích cú pháp MQTT, trong khi những gìNhững thứ nguy hiểm bao gồm bộ nhớ chung USB và trình điều khiển USB DFU.
Tại thời điểm công bố thông tin, các bản sửa lỗi chỉ được chuẩn bị cho 15 lỗ hổng nguy hiểm hơn, vẫn có những vấn đề chưa được giải quyết, dẫn đến việc từ chối dịch vụ hoặc liên quan đến lỗi cơ chế bảo vệ hạt nhân bổ sung.
Một lỗ hổng được khai thác từ xa đã được xác định trong ngăn xếp IPv4 của nền tảng, dẫn đến hỏng bộ nhớ khi các gói ICMP được sửa đổi theo một cách nhất định được xử lý.
Một vấn đề nghiêm trọng khác được tìm thấy trong trình phân tích cú pháp giao thức MQTT, qNguyên nhân là do không xác minh đúng độ dài của các trường trong tiêu đề và có thể dẫn đến việc thực thi mã từ xa. Các vấn đề từ chối dịch vụ ít nguy hiểm hơn được tìm thấy trong việc triển khai ngăn xếp IPv6 và giao thức CoAP.
Các vấn đề khác có thể khai thác cục bộ gây ra từ chối dịch vụ hoặc thực thi mã ở cấp độ hạt nhân. Hầu hết các lỗ hổng này liên quan đến việc thiếu kiểm tra thích hợp các đối số của các lệnh gọi hệ thống và có thể dẫn đến việc ghi và đọc các vùng tùy ý của bộ nhớ nhân.
Các vấn đề cũng bao gồm bản thân mã xử lý cuộc gọi hệ thống - việc truy cập số cuộc gọi hệ thống âm dẫn đến tràn số nguyên. VÀKernel cũng xác định các vấn đề trong việc triển khai bảo vệ ASLR (ngẫu nhiên hóa không gian địa chỉ) và cơ chế cài đặt nhãn canary trên ngăn xếp, làm cho các cơ chế này không hiệu quả.
Nhiều vấn đề ảnh hưởng đến ngăn xếp USB và trình điều khiển riêng lẻ. Ví dụ: sự cố trong bộ lưu trữ thứ cấp USB cho phép bạn gây tràn bộ đệm và thực thi mã cấp hạt nhân khi bạn kết nối thiết bị với một máy chủ tấn công USB được kiểm soát.
Lỗ hổng trong USB DFU, trình điều khiển để tải xuống phần sụn mới qua USB, cho phép bạn tải hình ảnh phần sụn đã sửa đổi vào Flash bên trong của vi điều khiển mà không cần sử dụng mã hóa và bỏ qua chế độ khởi động an toàn với xác minh chữ ký số thành phần. Ngoài ra, mã bộ nạp khởi động mở MCUboot đã được nghiên cứu, trong đó một lỗ hổng không nguy hiểm được tìm thấy có thể dẫn đến tràn bộ đệm khi sử dụng Giao thức quản lý đơn giản (SMP) thông qua UART.