0
0
Falhas que afetam milhões de dispositivos de internet das coisas (IoT) executando os chips Jetson da NVIDIA abrem as portas para uma variedade de hacks, incluindo ataques de negação de serviço (DoS) ou o sifonamento de dados.
A NVIDIA lançou patches que abordam nove vulnerabilidades de alta gravidade, incluindo oito bugs adicionais de menor gravidade. Os patches fixam uma ampla faixa de chipsets da NVIDIA normalmente usados para sistemas de computação embarcada, aplicativos de aprendizado de máquina e dispositivos autônomos, como robôs e drones.
Os produtos impactados incluem a série de chipsets Jetson; AGX Xavier, Xavier NX/TX1, Jetson TX2 (incluindo jetson TX2 NX) e jetson nano dispositivos (incluindo Jetson Nano 2GB) encontrados no kit de desenvolvedores de software NVIDIA JetPack. Os patches foram entregues como parte do boletim de segurança de junho da NVIDIA, divulgado na sexta-feira.
Patch mais importante
O bug mais grave, rastreado como CVE-2021-34372, abre a estrutura jetson para um ataque de estouro de buffer por um adversário. De acordo com o boletim de segurança da NVIDIA, o invasor precisaria de acesso à rede a um sistema para realizar um ataque, mas a empresa alertou que a vulnerabilidade não é complexa de explorar e que um adversário com pouco ou baixo acesso poderia lançá-lo. Ele acrescentou que um ataque poderia dar a um adversário acesso persistente a componentes – além do chipset NVIDIA visado – e permitir que um hacker manipule e ou sabote um sistema direcionado.
“[O driver Jetson] contém uma vulnerabilidade no código de análise de mensagens do protocolo NVIDIA OTE onde um estouro inteiro em um cálculo de tamanho de malloc() leva a um estouro de buffer na pilha, o que pode resultar em divulgação de informações, escalonamento de privilégios e negação de serviço (DoS)”, de acordo com o boletim de segurança, publicado na sexta-feira.
As extensões de transferência alheias (OTE) são algoritmos criptográficos de baixo nível usados pelos chipsets Jetson para processar protocolos de intersecção de conjuntos privados usados para proteger dados à medida que o chip processa dados.
Roundup de alta gravidade
Outros bugs de alta gravidade corrigidos pela NVIDIA incluem vulnerabilidades com classificações de gravidade entre 7,9 e 7, que incluem CVE-2021-34373, CVE-2021-34374, CVE-2021-34375, CVE-2021-34376, CVE-2021-34377, CVE-2021-34378, CVE-2021-34379 e CVE-2021-34380. Seis dos insetos, se explorados, poderiam permitir que um invasor local desencadeasse um ataque DoS.
Um dos bugs (CVE-2021-34373), com uma classificação de gravidade de 7,9, impacta o kernel Linux confiável da Jetson e abre a porta para um ataque de estouro de buffer baseado em pilha. Este ataque de tipo é direcionado para a estrutura de memória de dados do chip, onde o componente é manipulado para gerar erros.
“O kernel Linux confiável (TLK) contém uma vulnerabilidade no kernel NVIDIA TLK, onde a falta de endurecimento de pilhas pode causar estouros de pilha, o que pode levar à divulgação de informações e negação de serviço”, escreveu a NVIDIA.
Além do firmware, a fabricante de chips emitiu patches (CVE-2021-34372 através do CVE-2021-34397) para abordar o software de ponto final para Jetson TX1, série TX2, TX2 NX, série AGX Xavier, Xavier NX, Nano e Nano 2GB. Para esses bugs, a NVIDIA creditou o caçador de bugs Frédéric Perriot da Apple Media Products RedTeam por relatar os problemas.
“[Atualizações abordam] problemas de segurança que podem levar à escalada de privilégios, negação de serviço e divulgação de informações. Para proteger seu sistema, baixe e instale os pacotes Debian mais recentes dos repositórios APT”, escreveu a NVIDIA.
FONTE: THREATPOST