Kelemahan keamanan kritis telah diungkapkan dalam Microchip Advanced Software Framework (ASF) yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh.
Kerentanan tersebut, yang dilacak sebagai CVE-2024-7490, memiliki skor CVSS 9,5 dari maksimum 10,0. Kerentanan ini telah dideskripsikan sebagai kerentanan luapan berbasis tumpukan dalam implementasi ASF pada server tinydhcp yang berasal dari kurangnya validasi masukan yang memadai.
“Terdapat kerentanan di semua contoh basis kode ASF yang tersedia untuk umum yang memungkinkan permintaan DHCP yang dibuat secara khusus menyebabkan luapan berbasis tumpukan yang dapat mengakibatkan eksekusi kode jarak jauh,” kata Pusat Koordinasi CERT (CERT/CC) dalam sebuah nasihat.
Mengingat perangkat lunak tersebut tidak lagi didukung dan berakar pada kode yang berpusat pada IoT, CERT/CC telah memperingatkan bahwa kerentanan tersebut “kemungkinan akan muncul di banyak tempat di dunia nyata.”
Masalah ini memengaruhi ASF 3.52.0.2574 dan semua versi perangkat lunak sebelumnya, dan agensi tersebut juga mencatat bahwa beberapa cabang perangkat lunak tinydhcp kemungkinan juga rentan terhadap kelemahan tersebut.
Saat ini tidak ada perbaikan atau mitigasi untuk mengatasi CVE-2024-7490, kecuali mengganti layanan tinydhcp dengan layanan lain yang tidak memiliki masalah yang sama.
Perkembangan ini terjadi saat SonicWall Capture Labs merinci kerentanan zero-click yang parah yang memengaruhi chipset MediaTek Wi-Fi (CVE-2024-20017, CVSS 9.8) yang dapat membuka pintu bagi eksekusi kode jarak jauh tanpa memerlukan interaksi pengguna apa pun karena masalah penulisan di luar batas.
“Versi yang terpengaruh termasuk MediaTek SDK versi 7.4.0.1 dan sebelumnya, serta OpenWrt 19.07 dan 21.02,” kata perusahaan tersebut. “Ini berarti berbagai macam perangkat rentan, termasuk router dan ponsel pintar.”
“Kerentanan tersebut adalah luapan buffer sebagai akibat dari nilai panjang yang diambil langsung dari data paket yang dikendalikan penyerang tanpa pemeriksaan batas dan ditempatkan ke dalam salinan memori. Luapan buffer ini menciptakan penulisan di luar batas.”
Patch untuk kerentanan tersebut dirilis oleh MediaTek pada Maret 2024, meskipun kemungkinan eksploitasi telah meningkat dengan tersedianya eksploitasi bukti konsep (PoC) secara publik pada 30 Agustus 2024.