Координационният център CERT (CERT/CC) към университета Carnegie Mellon публикува съобщение за критичен недостатък, засягащ Advanced Software Framework (ASF) на Microchip.

ASF на Microchip е безплатна библиотека с отворен код за микроконтролерите на компанията. Базираният в САЩ доставчик на полупроводници твърди, че продуктът е предназначен за фазите на оценка, създаване на прототипи, проектиране и производство.

Дупката в сигурността, проследена като CVE-2024-7490, е открита от Андрю Кумбс от Amazon Element55. Според CERT/CC проблемът е свързан с имплементацията на сървъра Tinydhcp в ASF и може да позволи изпълнение на отдалечен код чрез специално създадени DHCP заявки.

„Имплементацията на DHCP в ASF не успява да валидира входа, като по този начин създава условия за препълване на стека“, обясняват от CERT/CC.

„Тъй като тази уязвимост е в код, ориентиран към IoT, тя вероятно ще се появи на много места в дивата природа.“ „Тази уязвимост може да бъде тествана чрез изпращане на един пакет с DHCP заявка до мултикаст адрес“, добави CERT/CC.

Организацията отбеляза, че CVE-2024-7490 засяга ASF 3.52.0.2574 и всички предишни версии на софтуера. Възможно е да бъдат засегнати и вилиците на Tinydhcp, налични в GitHub.

Засегнатата версия на ASF вече не се поддържа от производителя, който призова клиентите да „мигрират към актуално софтуерно решение, което е в процес на активна поддръжка“.CERT/CC заяви, че „в момента не знае за практическо решение на този проблем, освен замяната на услугата Tinydhcp с друга, която няма такъв проблем“.

Неотдавна Microchip стана мишена на атака с рансъмуер, която предизвика смущения и според твърденията е довела до кражба на няколко гигабайта данни.