CVE-2024-38373: FreeRTOS-Plus-TCP Flaw Exposes Millions of IoT Devices to Critical Risk
2024/06/26 SecurityOnline — IoT (Internet of Things) デバイスや組み込みシステムで広く使用されている、TCP/IP スタックである FreeRTOS-Plus-TCP に、重大な脆弱性 CVE-2024-38373 (CVSS:9.6) が発見された。この脆弱性の悪用に成功した攻撃者は、リモート・コードを実行が可能となり、何百万台もの接続されたデバイスの、セキュリティと完全性を破壊する可能性を手にする。
FreeRTOS-Plus-TCP とは
FreeRTOS-Plus-TCP は FreeRTOS OS 用に設計された、軽量の TCP/IP スタックである。使い慣れた Berkeley ソケットのインターフェイスを提供し、開発者がアクセスしやすく、統合しやすくなっている。このスタックは非常にスケーラブルであり、小型の低スループット・マイクロ・コントローラーから、大型の高スループット・マイクロプロセッサーにいたるまで対応しており、幅広いアプリケーションに対応する汎用的なソリューションとなっている。
CVE-2024-38373:バッファ・オーバーリードの脆弱性とリモート攻撃
この脆弱性は、FreeRTOS-Plus-TCP 4.0.0〜4.1.0 の DNS Response Parser コンポーネントに存在する。この脆弱性の悪用に成功した攻撃者は、悪意の DNS レスポンスを作成し、バッファ・オーバーリードを引き起こすことが可能となる。こうして攻撃者は任意のコードを実行し、マルウェアのインストール/機密データの窃取/重要な業務の妨害などの可能性を手にする。
この脆弱性の発見および報告は、著名なセキュリティ研究者である Jamie Davis による。
脆弱性の広範な影響: 数百万台の IoT デバイスが危険にさらされる
FreeRTOS-Plus-TCP は、広く採用されている TCP/IP スタックであり、スマートホーム・ガジェット/産業用センサー/医療機器/重要インフラシステムなどの、無数の IoT デバイスにパワーを供給している。そのため、この脆弱性の潜在的な影響は甚大であり、無数のデバイスが侵害のリスクにさらされることになる。
FreeRTOS-Plus-TCP 4.1.1 へと直ちにアップデートを!
すでに FreeRTOS 開発チームは、この重大な問題に対処するために、FreeRTOS-Plus-TCP バージョン 4.1.1 以降でパッチを適用している。ユーザーおよび開発者に強く推奨されるのは、脆弱性 CVE-2024-38373 の潜在的なリスクを軽減するために、これらのバージョンへとアップデートすることだ。
組み込みシステムで、FreeRTOS は広く使用されており、その TCP/IP スタックである FreeRTOS-Plus-TCP に脆弱性が発生したとのことです。ご利用のチームは、ご注意ください。同じく IoT 系ですが、2024/06/24 には「Apache StreamPipes の脆弱性 CVE-2024-29868:IIoT アカウント乗っ取りが生じる?」という記事もありました。なんとなく、定番と言われるものが、揃ってきたようにも思えますね。
なお、FreeRTOS について調べてみたら、Wikipedia に、「組み込みデバイス向けのリアルタイム OS のカーネルであり、35種類のマイクロコントローラ・プラットフォームに移植されている。MIT ライセンスに基づいて配布されている。FreeRTOS カーネルは、2003 年頃に Richard Barry により開発され、その後に Barry が所有する Real Time Engineers Ltd により、継続的に開発/保守されてきた。そして 2017 年に同社は、FreeRTOS プロジェクトの管理を Amazon Web Services (AWS) に引き継いだ。なお、Barry は、AWS チームの一員として FreeRTOS の開発を続けている」と記されていました。
IoT OT Security News 
You must be logged in to post a comment.