Deep Sea Electronics DSE855의 다... 노트

Deep Sea Electronics DSE855의 다중 취약점

트렌드마이크로의 ZDI는 딥씨 일렉트로닉스 DSE855 통신 장치의 취약점을 강조하는 여러 권고 사항을 발표했습니다.이 장치는 USB 연결을 통해 모니터링이 가능하며 기본적인 인증 조치가 부족하여 구성 백업이 공개될 수 있습니다.두 개의 추가 인증되지 않은 핸들러를 통해 공격자는 장치를 재시작하거나 공장 초기화할 수 있습니다.디바이스를 퍼징한 결과, 멀티파트 요청에서 경계값을 처리할 때 스택 기반 버퍼 오버플로가 발생하여 임의 코드 실행으로 이어질 가능성이 있는 것으로 밝혀졌습니다.멀티파트 요청의 값을 처리하는 과정에서 또 다른 버퍼 오버플로가 발견되어 공격자가 메모리를 덮어쓰고 임의의 코드를 실행할 수 있는 것으로 확인되었습니다.경계 값 처리의 논리 오류로 인해 무한 루프 및 서비스 거부가 발생했습니다.1월에 딥씨 일렉트로닉스에 취약점이 보고되었지만 120일의 표준 ZDI 기간 내에 패치가 출시되지 않아 6월에 0일 권고가 발표되었습니다.이 디바이스의 소프트웨어는 Segger의 embOS/IP 미들웨어를 기반으로 하는데, 중요한 기능에 대한 인증 메커니즘이 명확하지 않았습니다.임베디드 시스템에는 NX 비트 또는 레이아웃 무작위화와 같은 익스플로잇 완화 기능이 없어 익스플로잇에 취약했습니다.ZDI는 책임감 있는 취약점 공개의 중요성을 강조하고 공급업체가 적절한 사고 대응 프로세스를 구현하도록 권장합니다.