研究人員發現一個嚴重的NanoMQ平臺零日漏洞可能影響全球超過一億臺物聯網設備

2021年9月23日，據國際網絡安全資訊網站ThreatPost報道，網絡安全提供商Guardara的安全研究人員近期發現了一個嚴重的NanoMQ平臺零日漏洞。攻擊者可以通過構建低于預設長度的MQTT數據包觸發該漏洞，使得依賴NanoMQ平臺的物聯網產品在使用期間完全崩潰。該漏洞目前還未獲得CVE編號，但其CVSS評分為7.1，屬于高嚴重性漏洞，全球超過一億臺基于NanoMQ平臺的物聯網設備面臨潛在攻擊風險。 此次發現的漏洞存在于MQTT數據包長度上，當MQTT包長度被篡改并低于預期時，“memcpy”操作會接收到一個大小值，該值使源緩沖區位置指向一個未分配的內存區域，導致NanoMQ平臺崩潰。研究人員表示，NanoMQ平臺出現的零日漏洞可能導致數百萬人的生命和財產處于危險之中。目前，EMQ官方已發布漏洞補丁，對該漏洞進行了修復。建議正在使用NanoMQ平臺物聯網設備的用戶盡快與供應商聯系，獲取固件的更新途徑。