Contiki-NG IoT OS Patches Critical Vulnerabilities
2024/11/28 SecurityOnline — Contiki-NG OS に存在する、3つの重大な脆弱性が修正された。この、IoT デバイス用として人気を博す、OSS 製品の脆弱性の悪用に成功した攻撃者は、デバイス・クラッシュや悪意のコード実行を引き起こす可能性を得る。
Contiki-NG は、低リソース/低消費電力のデバイス向けに設計されており、産業用制御システム/スマートホーム/ウェアラブル端末などのアプリケーションで、幅広く利用されている。今回修正された脆弱性は、Contiki-NG のバージョン 4.9 以下に影響を及ぼすものだ。
それぞれの脆弱性の詳細は、下記の通りだ:
- CVE-2024-41125 (CVSS 8.4):Simple Network Management Protocol (SNMP) モジュールにおける out-of-bounds の脆弱性。Contiki-NG の勧告では、「Contiki-NG OS で SNMP が有効化されている、デバイスへ向けてパケットを送信すると、1 Byte の境界外読み取りが引き起こされる可能性がある」と説明されている。この脆弱性が悪用されると、メモリ上の機密情報が、攻撃者に読み取られる可能性が生じる。
- CVE-2024-47181 (CVSS 7.5):RPL (Routing Protocol for Low-Power and Lossy) の実装における、アラインメント違反のメモリ・アクセス脆弱性。アドバイザリには、「RPL オプションの前より前の位置に、奇数個のパディング・バイトを取り込んだ IPv6 パケットの場合には、奇数アドレス上の 16 Bit 整数が、rpl_ext_header_hbh_update 関数により読み取られる可能性がある」と詳述されている。この脆弱性が悪用されると、システム・クラッシュが発生する可能性がある。
- CVE-2024-41126 (CVSS 8.4):SNMP モジュールにおける、out-of-bounds 脆弱性。この脆弱性はメッセージのデコード時に発生するものである。この勧告には、「Contiki-NG OS で SNMP が有効化されているデバイスへ向けて、パケットを送信する際に引き起こされる可能性がある」と記されている。この脆弱性が悪用されると、脆弱性 CVE-2024-41125 と同様に、攻撃者に機密データの抽出を許す可能性がある。
Contiki-NG の SNMP モジュールは、デフォルトでは無効化されているが、有効化にしている開発者対しては、システムの更新が強く推奨される。脆弱性 CVE-2024-41125/CVE-2024-41126 に対するパッチは、それぞれ Contiki-NG のプル・リクエスト (#2936/#2937) で入手できる。
また、脆弱性 CVE-2024-47181 に対するパッチは、プル・リクエスト #2962 で入手可能だ。この修正は、次の Contiki-NG リリースに含まれる予定だが、それまでの間は、手動でパッチを適用して、この脆弱性を緩和する必要がある。
IoT デバイスの普及が進むにつれ、開発者やユーザーにとって重要になるのは、迅速なアップデート適用による潜在的な脅威を緩和と、セキュリティ・ベストプラクティスの優先的な採用となる。
Contiki-NG の脆弱性が FIX とのことです。この単語でググってみたら、MONOIST という日本語サイトで、詳しく説明されていました。今後は、日本でも流行るのかもしれませんね。日本語の Wikipedia もあり、「Contiki は、ネットワーク化され、小メモリで低電力消費の IoT 機器で使われることに焦点を当てた、オープンソースのオペレーティングシステム (OS) である。8ビットコンピュータや組み込みコンピュータ向け。たとえば、屋外・街中などに設置される、IoT 化された街路灯、騒音計、放射線量測定機などで使われることが想定されている」と記されていました。BSD 系のようです。よろしければ、IoT で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.