Chipy Nvidia Jetson powodowały, że urządzenia IoT były podatne na cyber ataki

Błędy umożliwiały hakerom przeprowadzanie ataków typu denial-of-service (DoS). Nvidia załatała już kilka luk. Czy problemy znikną?

Nvidia Jetson nie do końca bezpieczne dla IoT / Fot. Nvidia.com

Nvidia Jetson nie do końca bezpieczne dla IoT / Fot. Nvidia.com

Ostatnio Nvidia załatała kilka lub w swoich chipach Jetson z serii system-on-module (SOM). Hakerzy wykorzystywali je do eskalacji uprawnień i przeprowadzania ataków DoS. Układami, których dotyczyła luka, były Jetson TX1, seria TX2, TX2 NX, seria AGX Xavier, Xavier NX, a także Nano i Nano 2 GB z systemem Jetson Linux w wersji starszej niż 32.5.1.

Najpoważniejsza luka to CVE-2021-34372 i ma wynik CVSS równy 8,2. To usterka przepełnienia bufora w zaufanym środowisku wykonawczym (Trusted Execution Environment - TEE) o nazwie Trusty. Może skutkować ujawnieniem informacji, eskalacją uprawnień i odmową usługi (denial-of-service).

Zobacz również:

  • 83 miliony urządzeń IoT zagrożonych włamaniem
  • Potężny wzrost ataków na urządzenia IoT
  • Rząd Wielkiej Brytanii rozważa zablokowanie przejęcia ARM przez Nvidię

"Sterownik zawiera lukę w kodzie analizującym komunikaty protokołu NVIDIA OTE, w której przepełnienie liczby całkowitej w obliczeniach rozmiaru malloc() prowadzi do przepełnienia bufora, co może skutkować ujawnieniem informacji, eskalacją uprawnień i odmową usługi (DoS)" - czytamy w biuletynie bezpieczeństwa Nvidii.

To jednak nie wszystko. Firma wprowadziła również poprawki obejmujące uszkodzenie pamięci, przepełnienia stosu i sprawdzanie brakujących granic w TEE. Istnieją również przepełnienia mające wpływ na bootloadera, które mogą prowadzić do wykonania dowolnego kodu, odmowy usługi i ujawnienia informacji. Jak dodaje Nvidia, "dotknięte zostały również wcześniejsze wersje oprogramowania, które obsługują ten produkt. Jeśli używasz wcześniejszej wersji, zaktualizuj ją do najnowszej 32.5.1. Jeśli używasz wersji 32.5.1, zaktualizuj jeszcze pakiety Debiana."

Problemy związane z urządzeniami IoT są często martwymi punktami w wielu organizacjach. Firmy wprowadzają rozwiązania zabezpieczające, które albo z jakiegoś powodu nie obejmują urządzeń IoT, albo są one niewystarczające. Warto traktować IoT z taką samą uważnością, jak inne rozwiązania stosowane w firmie. Jeśli coś ma dostęp do internetu, powinno być należycie zabezpieczone, włącznie ze wsparciem IT, które dba o bezpieczeństwo.


TOP 200