Deep Sea Electronics DSE855 における複数の脆弱性
トレンド・マイクロのZDIが、Deep Sea ElectronicsのDSE855通信デバイスに関する複数のアドバイザリーを公開し、脆弱性を強調しました。このデバイスは、USB接続を介して監視が可能で、基本的な認証措置が欠けているため、設定バックアップの漏洩が生じます。2つの追加の認証されていないハンドラーが、デバイスを再起動または工場出荷状態にリセットすることを許します。デバイスをfuzzingすることで、multipartリクエストの境界値の処理に関するスタックベースのバッファーオーバーフローが見つかり、任意のコードの実行が可能です。multipartリクエストの値の処理に関するもう1つのバッファーオーバーフローが特定され、攻撃者がメモリーを上書きし、任意のコードを実行することができます。境界値の処理に関する論理的なエラーが無限ループとサービス拒否を引き起こします。ZDIがこれらの脆弱性をDeep Sea Electronicsに1月に報告したにもかかわらず、ZDIの標準的な120日間のタイムフレーム内にパッチがリリースされなかったため、6月に0-dayアドバイザリーが公開されました。デバイスのソフトウェアは、SeggerのembOS/IP middlewareに基づいており、臨界的な機能に対する明確な認証メカニズムがなかったようです。この組み込みシステムは、NXビットやレイアウトランダム化のようなexploit緩和策が欠けていたため、攻撃を受ける可能性が高まりました。ZDIは、責任ある脆弱性開示の重要性を強調し、ベンダーが適切なインシデントレスポンスプロセスを実施することを推奨します。