Investigadores de Claroty y JFrog han publicado los resultados de una auditoría de seguridad del paquete BusyBox, ampliamente utilizado en dispositivos integrados y que ofrece un conjunto de utilidades estándar UNIX empaquetadas en un único archivo ejecutable. Durante el análisis, se identificaron 14 vulnerabilidades, que ya se solucionaron en la versión de agosto de BusyBox 1.34. Casi todos los problemas son inofensivos y cuestionables desde el punto de vista de su uso en ataques reales, ya que requieren ejecutar utilidades con argumentos recibidos del exterior.
Una vulnerabilidad separada es CVE-2021-42374, que le permite provocar una denegación de servicio al procesar un archivo comprimido especialmente diseñado con la utilidad unlzma y, en el caso del ensamblaje con las opciones CONFIG_FEATURE_SEAMLESS_LZMA, también con cualquier otro componente de BusyBox, incluido tar, descomprimir, rpm, dpkg, lzma y man.
Las vulnerabilidades CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 y CVE-2021-42377 pueden provocar una denegación de servicio, pero requieren ejecutar las utilidades man, ash y hush con parámetros especificados por el atacante. Las vulnerabilidades CVE-2021-42378 a CVE-2021-42386 afectan a la utilidad awk y pueden conducir potencialmente a la ejecución de código, pero para ello el atacante debe asegurarse de que se ejecute un determinado patrón en awk (es necesario ejecutar awk con los datos recibidos). del atacante).
Adicionalmente, también se puede notar una vulnerabilidad (CVE-2021-43523) en las bibliotecas uclibc y uclibc-ng, debido a que al acceder a las funciones gethostbyname(), getaddrinfo(), gethostbyaddr() y getnameinfo(), el El nombre de dominio no se verifica y el servidor DNS devuelve el nombre limpio. Por ejemplo, en respuesta a una determinada solicitud de resolución, un servidor DNS controlado por un atacante puede devolver hosts como " alert(‘xss’) .attacker.com" y serán devueltos sin cambios a algún programa que, sin limpiarlos, pueda mostrarlos en la interfaz web. El problema se solucionó en la versión de uclibc-ng 1.0.39 agregando código para verificar la exactitud de los nombres de dominio devueltos, implementado de manera similar a Glibc.
Fuente: opennet.ru