Des chercheurs de Claroty et JFrog ont publié les résultats d'un audit de sécurité du package BusyBox, largement utilisé dans les appareils embarqués et proposant un ensemble d'utilitaires UNIX standards regroupés dans un seul fichier exécutable. Lors de l'analyse, 14 vulnérabilités ont été identifiées, qui ont déjà été corrigées dans la version d'août de BusyBox 1.34. Presque tous les problèmes sont inoffensifs et discutables du point de vue de leur utilisation dans des attaques réelles, car ils nécessitent l'exécution d'utilitaires avec des arguments reçus de l'extérieur.
Une vulnérabilité distincte est CVE-2021-42374, qui vous permet de provoquer un déni de service lors du traitement d'un fichier compressé spécialement conçu avec l'utilitaire unlzma, et en cas d'assemblage avec les options CONFIG_FEATURE_SEAMLESS_LZMA, également avec tout autre composant BusyBox, y compris tar, unzip, rpm, dpkg, lzma et man .
Les vulnérabilités CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 et CVE-2021-42377 peuvent provoquer un déni de service, mais nécessitent l'exécution des utilitaires man, ash et hush avec des paramètres spécifiés par l'attaquant. Les vulnérabilités CVE-2021-42378 à CVE-2021-42386 affectent l'utilitaire awk et peuvent potentiellement conduire à l'exécution de code, mais pour cela, l'attaquant doit s'assurer qu'un certain modèle est exécuté dans awk (il est nécessaire d'exécuter awk avec les données reçues de l'attaquant).
De plus, on peut également noter une vulnérabilité (CVE-2021-43523) dans les bibliothèques uclibc et uclibc-ng, du fait que lors de l'accès aux fonctions gethostbyname(), getaddrinfo(), gethostbyaddr() et getnameinfo(), le le nom de domaine n'est pas vérifié et le nom nettoyé est renvoyé par le serveur DNS. Par exemple, en réponse à une certaine demande de résolution, un serveur DNS contrôlé par un attaquant peut renvoyer des hôtes comme « alert(‘xss’) .attaquant.com" et ils seront renvoyés inchangés à un programme qui, sans nettoyage, pourra les afficher dans l'interface Web. Le problème a été résolu dans la version uclibc-ng 1.0.39 en ajoutant du code pour vérifier l'exactitude des noms de domaine renvoyés, implémenté de la même manière que Glibc.
Source: opennet.ru