Open-Source-Fallstudien
Die Effektivität von Fuzzino wurde anhand von zwei Open-Source-Fallstudien bestätigt: Eclipse® Mosquitto und NanoMQ. Bei beiden handelt es sich um Broker für das MQTT-Protokoll, das im Internet der Dinge häufig zum Austausch von Nachrichten, z. B. in der Fertigung, der Automobilindustrie oder der Landwirtschaft, verwendet wird. Wir haben diese Broker mit Fuzz-Testdaten an ihren funktionalen MQTT-Schnittstellen getestet, ohne einen speziellen Adapter für Sicherheitstests zu entwickeln. Fuzzino generierte und sendete gefuzzte MQTT-Nachrichten an die Broker. Diese Nachrichten berücksichtigten auch den Zustand des MQTTBrokers, was es Fuzzino ermöglichte, komplexere Interaktionen als mit herkömmlichen Fuzzern zu erzeugen. Dadurch wurden mehrere Zero-Day-Schwachstellen in beiden Brokern gefunden.
Zero-Day-Schwachstellen indentifiziert mit Fuzzino
| CVE-ID | CVSS | Produkt | Schwachstelle (vormals Effect) | URL |
|---|---|---|---|---|
| CVE-2024-8376 | HIGH 7.2 | Mosquitto | Use-After-Free | |
| reopened CVE-2023-28366 (incomplete patch) | Mosquitto | Memory Leaks | ||
| CVE-2025-65953 | MEDIUM 6.0 | NanoMQ | Use-After-Free | |
| CVE-2025-59946 | HIGH 7.5 | NanoMQ | Use-After-Free | |
| CVE-2025-59947 | HIGH 8.5 | NanoMQ | Buffer Overflow | |
| CVE-2025-62723 | MEDIUM 4.3 | FlashMQ | Memory Leaks |
In Mosquitto hat Fuzzino eine hochgradig gefährliche Schwachstelle (CVE-2024-8376) aufgedeckt, die Ressourcenüberbeanspruchungen und ungültige Speicherzugriffe ermöglicht und den gesamten Broker zum Absturz bringen kann. Diese Schwachstelle wurde in nur wenigen Minuten aufgedeckt. Im Gegensatz dazu hat Google OSS Fuzz die von uns getestete Mosquitto-Version mehr als ein Jahr lang mit mehreren Open-Source-Fuzzern überprüft, ohne die Schwachstelle zu finden.
Bei NanoMQ hat Fuzzino zwei Schwachstellen aufgedeckt, die jeweils in wenigen Minuten zu ungültigen Speicherzugriffen führen. Dies ist eine drastische Verbesserung im Vergleich zu den in der Branche üblichen stunden- oder tagelangen Fuzzing-Prozessen.