CRITICAL🇬🇧 English

CVE-2023-48692

RCE przez przepełnienie pamięci w Azure RTOS NetX Duo (IoT/RTOS)

CVSS 9.0v3.1pub. 2023-12-05upd. 2024-11-21

Azure RTOS NetX Duo w wersjach 6.2.1 i wcześniejszych zawiera krytyczne podatności typu przepełnienie pamięci umożliwiające zdalne wykonanie kodu (RCE). Podatność jest szczególnie groźna, ponieważ dotyczy stosu sieciowego TCP/IP wbudowanego w systemy czasu rzeczywistego i urządzenia IoT, które często działają bez dodatkowych warstw ochrony.

Pokaż oryginał (EN)

Azure RTOS NetX Duo is a TCP/IP network stack designed specifically for deeply embedded real-time and IoT applications. An attacker can cause remote code execution due to memory overflow vulnerabilities in Azure RTOS NETX Duo. The affected components include processes/functions related to icmp, tcp, snmp, dhcp, nat and ftp in RTOS v6.2.1 and below. The fixes have been included in NetX Duo release 6.3.0. Users are advised to upgrade. There are no known workarounds for this vulnerability.

🤖 Analiza AI
Jak działa

Podatności (CWE-787: out-of-bounds write, CWE-825: expired pointer dereference) występują w komponentach obsługujących protokoły sieciowe: ICMP, TCP, SNMP, DHCP, NAT oraz FTP. Atakujący może wysyłać odpowiednio spreparowane pakiety sieciowe, które powodują przepełnienie bufora poza jego granicami lub dostęp do nieprawidłowego obszaru pamięci. Skutkiem jest możliwość przejęcia kontroli nad przepływem wykonania kodu w urządzeniu docelowym bez jakiejkolwiek interakcji użytkownika i bez wcześniejszego uwierzytelnienia.

Skutki

Atakujący może zdalnie wykonać dowolny kod (RCE) na podatnym urządzeniu, co w praktyce oznacza pełne przejęcie kontroli nad systemem wbudowanym lub urządzeniem IoT, w tym możliwość naruszenia poufności, integralności i dostępności danych oraz funkcji urządzenia.

Mitygacja

Należy zaktualizować Azure RTOS NetX Duo do wersji 6.3.0 lub nowszej, w której poprawki zostały uwzględnione. Producent nie wskazuje żadnych alternatywnych obejść — aktualizacja jest jedynym zalecanym działaniem.

Kogo dotyczy

Azure RTOS NetX Duo w wersji 6.2.1 i wcześniejszych — komponenty obsługujące protokoły ICMP, TCP, SNMP, DHCP, NAT oraz FTP

Uwagi

Podatność dotyczy systemów głęboko wbudowanych (embedded) i IoT, które często charakteryzują się utrudnionym procesem aktualizacji oprogramowania układowego. Administratorzy powinni priorytetowo potraktować identyfikację urządzeń korzystających z tej biblioteki w swoich środowiskach.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Rtos Netx Duo

    OS
    Microsoft
    < 6.3.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2023-48316CRITICAL9.8PL ✓ten sam produkt

RCE przez przepełnienie pamięci w Azure RTOS NetX Duo (SNMP, SMTP, FTP, DTLS)

CVE-2023-48315HIGH8.8ten sam produkt

Azure RTOS NetX Duo is a TCP/IP network stack designed specifically for deeply embedded real-time and IoT appl...

CVE-2023-48691HIGH8.1ten sam produkt

Azure RTOS NetX Duo is a TCP/IP network stack designed specifically for deeply embedded real-time and IoT appl...

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server