Uma grave falha de segurança foi revelada no framework Microchip Advanced Software Framework (ASF), que, se explorada com sucesso, pode permitir a execução remota de código. A vulnerabilidade, identificada como CVE-2024-7490, recebeu uma pontuação CVSS de 9,5 em 10, refletindo sua severidade. A falha é descrita como um estouro de pilha baseado em uma vulnerabilidade de estouro no servidor tinydhcp, parte da implementação do ASF, devido à falta de validação adequada de entradas. De acordo com o Centro de Coordenação CERT (CERT/CC), a vulnerabilidade está presente em todos os exemplos disponíveis publicamente do código ASF, permitindo que uma solicitação DHCP especialmente manipulada cause o estouro de pilha, resultando na execução remota de código.

O CERT/CC também alerta que, como o software não é mais suportado e está relacionado a códigos voltados para IoT, essa vulnerabilidade pode surgir em muitos dispositivos espalhados no mercado. Essa falha afeta a versão 3.52.0.2574 do ASF e todas as versões anteriores. Além disso, diversos forks (ramificações) do software tinydhcp também podem estar suscetíveis à mesma vulnerabilidade, ampliando o risco. No momento, não há correções ou soluções paliativas disponíveis para o CVE-2024-7490, exceto a substituição do serviço tinydhcp por outro que não apresente o mesmo problema.

O caso chama atenção devido à vulnerabilidade que afeta dispositivos IoT, especialmente aqueles que utilizam o ASF. Com a falta de suporte para o software, a probabilidade de novos dispositivos comprometidos aparecerem é alta, aumentando os riscos de ataques em larga escala.