IoT en industriële software stikt van de geheugenfouten, constateert Microsoft

BadAlloc is een verzameling van zo'n 25 problemen die vermeld staan in de Common Vulnerabilities and Exposures (CVE)-databank. In alle gevallen hebben ze te maken met code waarin het gebruik van werkgeheugen slecht is ingeregeld. Wanneer er van buitenaf verkeerde input op deze kwetsbaarheden wordt afgestuurd - bewust of onbewust - leidt dat tot een buffer overflow en de mogelijkheid voor kwaadwillenden code te plaatsen en activeren op het betreffende apparaat waar de software op draait.

Het zijn echt niet alleen obscure IoT-producenten in lagelonenlanden die goedkope producten op de markt willen dumpen. De fouten komen ook voor in apparatuur en software van grote namen zoals Google Cloud, ARM, Amazon, Red Hat, Texas Instruments en Samsung.

Informatie delen is essentieel

Microsoft zegt in een blog over dit probleem contact te hebben gezocht met het Amerikaanse Department of Homeland Security om alle bedrijven op de hoogte te brengen van de kwetsbaarheden. Het probleem is dat de software zelf wel te updaten is, maar dat deze vaak is verwerkt in apparatuur waarbij het vervangen van de software lastig is of soms zelfs onmogelijk.

Microsoft raadt in dat geval aan de apparatuur los te koppelen van internet of als dat echt niet mogelijk is, af te dwingen dat deze alleen benaderd kan worden via een VPN met twofactorauthentication (2FA). Bedrijven zouden ook meer werk moeten maken van netwerksegmentatie en gebruik maken van monitoring om verdachte activiteiten op het netwerk te ontdekken. Daarmee wordt voorkomen dat wanneer criminelen hebben weten binnen te dringen, ze veel lastiger zijwaarts door het netwerk op zoek kunnen gaan naar de kroonjuwelen van de organisatie, adviseert het team in de blog.