Οι ευπάθειες του NVidia Jetson SoC εκθέτουν συσκευές σε κλοπή δεδομένων

Την περασμένη Παρασκευή, η εταιρεία chip chip NVidia κυκλοφόρησε ενημερώσεις κώδικα που αντιμετωπίζουν μια σειρά από ευπάθειες και σφάλματα στο πλαίσιο του συστήματος Jetson on chip (SoC) της εταιρείας.

Η εταιρεία εκδίδει ένα ενημερωτικό δελτίο ασφαλείας στις 18 Απριλίου, δημοσιεύοντας τις πλήρεις λεπτομέρειες σχετικά με όλες τις ευπάθειες και τα σφάλματα που αντιμετωπίζει η ενημέρωση. Μεταξύ αυτών ήταν εννέα σοβαρές ευπάθειες και άλλα οκτώ σφάλματα που δεν είχαν τόσο υψηλό αντίκτυπο στην ασφάλεια.

Οι ευπάθειες επέτρεψαν σε πιθανούς κακούς παράγοντες να εκτελέσουν επιθέσεις άρνησης υπηρεσίας ή να αποβάλλουν πληροφορίες από τις συσκευές.

Το Jetson SoC βρίσκεται συνήθως σε συσκευές IoT, ρομπότ και drone, καθώς και σε διάφορα ενσωματωμένα συστήματα με διαφορετικές εφαρμογές. Η λίστα των προϊόντων της οικογένειας Jetson που έχουν επηρεαστεί και έχουν επιδιορθώσει αυτά τα ζητήματα περιλαμβάνουν τα AGX Xavier, Xavier NX, TX1 και TX2 καθώς και το Jetson Nano.

Το ενημερωτικό δελτίο επισημαίνει μια ευπάθεια που κωδικοποιείται ως CVE-2021-34372 ως η πιο σοβαρή. Επιτρέπει σε κακούς ηθοποιούς να εκτελέσουν μια επίθεση buffer overflow στη συσκευή που τρέχει το Jetson SoC. Παρόλο που ο εισβολέας θα χρειαζόταν πρόσβαση στο δίκτυο στο σύστημα των θυμάτων για να εκτελέσει την επίθεση, η ίδια η εισβολή δεν είναι πολύ δύσκολη.

Επιπλέον, ένα σύστημα που παραβιάζεται χρησιμοποιώντας αυτήν την τεχνική υπερχείλισης buffer θα εκτεθεί περαιτέρω σε μια σειρά κλιμακούμενων απειλών, όπως άρνηση υπηρεσίας, αποκάλυψη πληροφοριών και κακός φορέας που αποκτά αυξημένα δικαιώματα στη συσκευή.

Από τις υπόλοιπες σοβαρές ευπάθειες που αντιμετωπίστηκαν, άλλες έξι θα επέτρεπαν επίσης στον κακό δράστη που πραγματοποίησε την επίθεση να εκτελέσει επίθεση άρνησης υπηρεσίας. Ορισμένες άλλες ευπάθειες και σφάλματα είχαν να κάνουν με τον τρόπο χειρισμού των buffer μνήμης και αιτήματος στις συσκευές και θα μπορούσαν κυρίως να οδηγήσουν σε μερική πλήρη άρνηση υπηρεσίας.

Το υπόλοιπο των ευπαθών επιπέδων υψηλού κινδύνου απειλείται ως CVE-2021-34373 έως CVE-2021-34380.

Τα καλά νέα είναι ότι κυκλοφορεί η ενημέρωση λογισμικού και οι κάτοχοι οποιωνδήποτε συστημάτων και συσκευών που χρησιμοποιούν υλικό Jetson SoC θα πρέπει να τα ενημερώσουν το συντομότερο δυνατό.