Nel novembre 2021, i ricercatori di cybersicurezza hanno scoperto diverse vulnerabilità critiche che interessavano Android e i sistemi Linux embedded . Google ha rilasciato il suo aggiornamento mensile di sicurezza per Android, ma gli utenti e i produttori devono essere disposti a patchare il sistema operativo per impedire agli aggressori di sfruttare le vulnerabilità. Le vulnerabilità scoperte a novembre coprono diverse serie opportunità di sfruttamento per gli aggressori, tra cui l'esecuzione di codice remoto (RCE), il denial of service (DoS), uno zero-day descritto come exploit della memoria use-after-free e l'escalation dei privilegi del kernel. Tutti questi problemi sono gravi se non vengono risolti e occorre aggiornarli rapidamente per evitare di essere il prossimo bersaglio.
Anche se il rischio è critico, è comune che molti produttori e sviluppatori lo ignorino ed evitino le spese di aggiornamento. Il patching e l'aggiornamento del kernel Linux richiedono prove, poiché esiste la possibilità che qualcosa vada storto, causando tempi di inattività e potenziali disastri. Per evitare ciò, noi di L4B lavoriamo insieme ai nostri clienti per garantire un aggiornamento senza problemi, in modo che i loro sistemi IVI e IC siano sicuri e i tempi di inattività siano ridotti al minimo.
Android obsoleto e nuove CVE pericolose
Android alimenta molti sistemi IVI e alcuni OEM continuano a utilizzare le vecchie versioni di Android (versioni 6-8) perché sono stabili. Sebbene sia stabile, ogni sviluppatore che rimane su queste vecchie versioni di Android lascia la propria applicazione aperta a numerose vulnerabilità critiche. Ciò rende l'intero sistema una bomba a orologeria in attesa che l'hacker giusto identifichi e sfrutti una vulnerabilità nota.
Google rilascia frequentemente patch per risolvere e correggere le vulnerabilità, ma è comune che gli OEM del settore automobilistico e i produttori di sistemi aggiornino solo dopo un lungo processo di test. Sebbene i test siano necessari, lasciano agli aggressori una finestra di opportunità per sfruttare kernel Linux non patchati e sistemi con vulnerabilità note. Se la vulnerabilità include un proof of concept, gli aggressori possono usarlo per creare rapidamente exploit per trovare sistemi senza patch.
La vulnerabilità più rilevante dell'ultima versione di Google è la CVE-2021-1048, ma Google ne ha elencate diverse altre nel suo Android Security Bulletin. La CVE-2021-1048 rende i sistemi vulnerabili a due exploit: condizioni di scrittura e manipolazione della memoria use-after-free. Entrambi potrebbero portare alla divulgazione di memoria casuale o all'esecuzione di codice da remoto, un rischio critico da lasciare senza patch.
Con l'ultimo aggiornamento di sicurezza sono state corrette diverse altre vulnerabilità, che potrebbero avere gravi conseguenze se un sistema incorporato viene lasciato alle versioni precedenti. L4B Automotive vi fornirà soluzioni di aggiornamento senza problemi per proteggere e stabilizzare il vostro sistema se non avete fiducia nel processo di aggiornamento di Android. Con il nostro laboratorio di convalida automatica del BSP, garantiamo artefatti e immagini del sistema operativo sicuri e protetti.
L'aggiornamento del kernel Linux è importante quanto la patch del software di terze parti
La vulnerabilità più rilevante per Linux proviene da BusyBox, una popolare utility Unix che contiene diverse applet comuni su controllori logici programmabili (PLC), dispositivi IoT, interfacce uomo-macchina (HMI) e unità terminali remote (RTU). È proprio questa applicazione che è stata individuata per introdurre diverse vulnerabilità nei sistemi embedded nel novembre 2021.
I ricercatori hanno annunciato 14 vulnerabilità che coprono da CVE-2021-42373 a CVE-2021-42386. Queste CVE indicano che tutte lasciano il sistema vulnerabile al denial of service, ma 10 di esse potrebbero essere sfruttate per l'esecuzione di codice remoto.
Le vulnerabilità di BusyBox scoperte interessano diverse versioni, pertanto ogni installazione OEM o del produttore del sistema dovrebbe essere aggiornata. I ricercatori hanno studiato una serie di firmware di sistemi embedded e hanno scoperto che il 40% dei sistemi è risultato vulnerabile. Questa scoperta rende milioni di applicazioni e ambienti vulnerabili a perdite di dati e crash critici, e dovrebbero essere aggiornati immediatamente per motivi di sicurezza.
Sebbene lo sfruttamento di queste vulnerabilità richieda condizioni specifiche e un attacco sofisticato, è comunque rischioso lasciare un sistema che utilizza BusyBox senza patch. Potrebbe sembrare una patch non necessaria, ma tutti gli sviluppatori e i produttori dovrebbero considerare la sicurezza informatica e la protezione dei loro sistemi una priorità. L'applicazione di patch ai sistemi embedded protegge i clienti e i loro dati, mentre una negligente supervisione degli ambienti critici può causare danni al marchio, perdita di clienti, perdita di profitti e costi di controversie future.
Proprio come i sistemi Android, è comprensibile che molti OEM e produttori di automobili esitino ad aggiornare subito prima di testare. I test sono sempre necessari, ma più si aspetta, più si allunga la finestra di opportunità per un aggressore. L4B Automotive può collaborare con voi per garantire che il vostro ambiente sia sicuro e che il processo di aggiornamento si svolga in modo fluido ed efficiente.
