Microchip進階軟體框架存在重大RCE漏洞

卡內基美隆大學所屬的電腦網路危機處理暨協調中心（CERT/CC）指出，Microchip進階軟體框架（Advanced Software Framework，ASF）存在可被用於遠端執行任意程式碼（RCE）的重大層級漏洞CVE-2024-7490，影響3.52.0.2574版以下所有的ASF，4.0版CVSS風險評分為9.5。值得留意的是，因Microchip已不再提供ASF相關支援，將不會對該漏洞進行修補。

這項漏洞存在於tinydhcp伺服器元件，發生的原因在於，ASF的DHCP通訊協定實作無法進行輸入驗證，導致攻擊者有機會藉此導致記憶體緩衝區溢位，進而能夠遠端執行程式碼。

細部而言，該漏洞出現於所有公開的ASF程式碼基礎（codebase）範例當中，攻擊者可發送特製的DHCP請求造成記憶體緩衝區溢位，並且觸發這項漏洞。

他們也提及這項弱點出現在物聯網相關應用的程式碼，因此可能會廣泛存在許多地方；再者，tinydhcp的分叉（fork）版本也可能容易受到該漏洞的影響。

該如何緩解這個漏洞？CERT/CC認為，將tinydhcp更換成另一個不受影響的元件，有可能達到緩解的效果，但目前尚未發現其他可行做法。