NVidia Jetson SoC-kwetsbaarheden stellen apparaten bloot aan gegevensdiefstal
Afgelopen vrijdag heeft chipmaker NVidia patches uitgebracht die een reeks kwetsbaarheden en bugs in het Jetson system on chip (SoC) framework van het bedrijf aanpakken.
Het bedrijf brengt op 18 april een beveiligingsbulletin uit, waarin de volledige details worden gepubliceerd over alle aangepakte kwetsbaarheden en bugs waarop de patches betrekking hebben. Daaronder bevonden zich negen ernstige kwetsbaarheden en nog eens acht bugs die niet zo'n grote beveiligingsimpact hadden.
Door de kwetsbaarheden konden potentiële kwaadwillenden denial-of-service-aanvallen uitvoeren of informatie van de apparaten exfiltreren.
De Jetson SoC wordt meestal aangetroffen in IoT-apparaten, robots en drones, maar ook in verschillende embedded systemen met verschillende toepassingen. De lijst met getroffen Jetson-familieproducten waarvoor deze problemen nu zijn verholpen, omvat de AGX Xavier, Xavier NX, TX1 en TX2 evenals de Jetson Nano.
Het bulletin wijst op een kwetsbaarheid die is gecodeerd als CVE-2021-34372 als de ernstigste. Hierdoor konden kwaadwillenden een bufferoverloopaanval uitvoeren op het apparaat waarop de Jetson SoC draait. Hoewel de hacker netwerktoegang tot het slachtoffersysteem nodig heeft om de aanval uit te voeren, is de hack zelf niet erg moeilijk om uit te voeren.
Bovendien zou een systeem dat is gecompromitteerd met behulp van deze bufferoverlooptechniek verder worden blootgesteld aan een aantal geëscaleerde bedreigingen, waaronder denial of service, het vrijgeven van informatie en de kwaadwillende die verhoogde privileges op het apparaat krijgt.
Van de resterende ernstige kwetsbaarheden die zijn aangepakt, zouden nog eens zes de kwaadwillende die de aanval uitvoert, ook in staat stellen een denial of service-aanval uit te voeren. Een aantal andere kwetsbaarheden en bugs hadden te maken met de manier waarop het geheugen en de verzoekbuffers op de apparaten werden afgehandeld en konden voornamelijk leiden tot gedeeltelijke of volledige denial of service.
De overige kwetsbaarheden op hoog dreigingsniveau worden gevolgd als CVE-2021-34373 tot en met CVE-2021-34380.
Het goede nieuws is dat de software-update is uitgebracht en dat eigenaren van systemen en apparaten met Jetson SoC-hardware deze zo snel mogelijk moeten updaten.
