MPLAB® Harmony v3 của Microchip. Ảnh chụp màn hình
Đại diện Microchip cho biết ASF là bộ công cụ cũ và không còn được duy trì nữa. Công ty khuyến cáo khách hàng mới chuyển sang sử dụng MPLAB Harmony, một nền tảng được phát triển an toàn hơn, không chứa các lỗ hổng như ASF. Hơn nữa, MPLAB Harmony đã tích hợp đầy đủ các chức năng của ASF cùng nhiều cải tiến khác, giúp đảm bảo tính toàn diện và an toàn hơn cho các ứng dụng IoT trong tương lai.
Việc chuyển đổi sang MPLAB® Harmony không chỉ mang lại sự an toàn mà còn giúp các doanh nghiệp và nhà phát triển IoT giảm thiểu rủi ro trước những lỗ hổng bảo mật mới được phát hiện.
Trước đó, Trung tâm điều phối CERT (CERT/CC) thuộc Đại học Carnegie Mellon cảnh báo lỗ hổng có định danh CVE-2024-7490 với điểm CVSS là 9,5. Nguyên nhân bắt nguồn từ vấn đề xác thực đầu vào không đầy đủ, dẫn đến tràn bộ nhớ đệm trong quá trình triển khai máy chủ tinydhcp của ASF. Lỗ hổng này được phát hiện bởi Andrue Coombes từ Amazon Element55 và được đánh giá là một mối đe dọa lớn đối với các thiết bị IoT.
CERT cảnh báo, tất cả các phiên bản của ASF, bao gồm phiên bản 3.52.0.2574 và các bản trước đó, đều dễ bị tấn công. Hiện không có bản vá nào cho CVE-2024-7490, và giải pháp duy nhất là thay thế dịch vụ tinydhcp bằng dịch vụ khác.
Mặc dù một số nhà sản xuất đã phát hành bản vá cho những hệ thống tương tự, chẳng hạn như MediaTek với chipset Wi-Fi (CVE-2024-20017), nhưng các mã khai thác (PoC) cho lỗ hổng đã được công khai, khiến nguy cơ bị tấn công ngày càng tăng.
