### Descoberta Falha de Segurança no Microchip ASF Que Ameaça Dispositivos IoT
Uma vulnerabilidade crítica foi revelada no Microchip Advanced Software Framework (ASF), deixando dispositivos IoT em risco de ataques de execução remota de código. A brecha, designada como CVE-2024-7490, recebeu uma classificação alarmante de 9,5 no índice CVSS, que mede a severidade dos riscos digitais até o teto de 10.
O problema reside no estouro de pilha na funcionalidade do servidor tinydhcp providenciada pelo ASF, devido à insuficiente validação de dados de entrada. Conforme relatório emitido pelo CERT Coordination Center (CERT/CC), exemplos disponíveis da base de código do ASF contêm a vulnerabilidade, que pode ser ativada por uma requisição DHCP mal-intencionada, causando estouro de pilha e potencial execução de código não autorizado remotamente.
Os especialistas estão particularmente preocupados porque o ASF não tem mais atualizações de segurança, sendo parte de sistemas legados direcionados para a Internet das Coisas (IoT). O CERT/CC enfatiza que a falha poderá ser encontrada em diversos dispositivos que utilizam esta tecnologia.
As versões afetadas incluem a 3.52.0.2574 e anteriores, e o impacto se estende para diversas bifurcações do tinydhcp que permanecem vulneráveis. No momento, não existem soluções diretas para mitigar o risco relacionado ao CVE-2024-7490, além de substituir completamente o serviço tinydhcp vulnerável.
Esta revelação surge em um contexto em que outra falha crítica no MediaTek Wi-Fi (CVE-2024-20017, CVSS 9.8) também foi exposta. Ela poderia igualmente resultar em execução remota de código sem a necessidade de interação humana, através de um erro de escrita fora dos limites. Inúmeros dispositivos, como roteadores e smartphones que utilizam o MediaTek SDK versões até 7.4.0.1 e OpenWrt versões 19.07 e 21.02, estão suscetíveis.
Para a falha da MediaTek, uma correção já foi disponibilizada em março de 2024, ainda que detalhes e prova de conceito publicados em agosto desse ano tenham ampliado a probabilidade de sua exploração.
Os incidentes ressaltam a importância contínua de vigilância na segurança cibernética em componentes tão fundamentais para a infraestrutura da IoT e incentivam uma rápida resposta aos alertas de segurança.
Para acompanhar atualizações e artigos relevantes sobre o tema, sugerem-se fontes como o perfil do Twitter da The Hacker News e seu LinkedIn, que divulgam conteúdos exclusivos sobre o panorama atual da segurança digital.