研究人员发现一个严重的NanoMQ平台零日漏洞可能影响全球超过一亿台物联网设备

2021年9月23日，据国际网络安全资讯网站ThreatPost报道，网络安全提供商Guardara的安全研究人员近期发现了一个严重的NanoMQ平台零日漏洞。攻击者可以通过构建低于预设长度的MQTT数据包触发该漏洞，使得依赖NanoMQ平台的物联网产品在使用期间完全崩溃。该漏洞目前还未获得CVE编号，但其CVSS评分为7.1，属于高严重性漏洞，全球超过一亿台基于NanoMQ平台的物联网设备面临潜在攻击风险。 此次发现的漏洞存在于MQTT数据包长度上，当MQTT包长度被篡改并低于预期时，“memcpy”操作会接收到一个大小值，该值使源缓冲区位置指向一个未分配的内存区域，导致NanoMQ平台崩溃。研究人员表示，NanoMQ平台出现的零日漏洞可能导致数百万人的生命和财产处于危险之中。目前，EMQ官方已发布漏洞补丁，对该漏洞进行了修复。建议正在使用NanoMQ平台物联网设备的用户尽快与供应商联系，获取固件的更新途径。