Investigadores de Claroty e JFrog publicaron os resultados dunha auditoría de seguridade do paquete BusyBox, moi utilizado en dispositivos integrados e que ofrece un conxunto de utilidades estándar de UNIX empaquetadas nun único ficheiro executable. Durante a exploración, identificáronse 14 vulnerabilidades, que xa foron corrixidas na versión de agosto de BusyBox 1.34. Case todos os problemas son inofensivos e cuestionables desde o punto de vista do uso en ataques reais, xa que requiren executar utilidades con argumentos recibidos de fóra.
Unha vulnerabilidade aparte é CVE-2021-42374, que lle permite provocar unha denegación de servizo ao procesar un ficheiro comprimido especialmente deseñado coa utilidade unlzma e, no caso da montaxe coas opcións CONFIG_FEATURE_SEAMLESS_LZMA, tamén con outros compoñentes de BusyBox, incluídos tar, unzip, rpm, dpkg, lzma e man .
As vulnerabilidades CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 e CVE-2021-42377 poden provocar unha denegación de servizo, pero requiren executar as utilidades man, ash e hush cos parámetros especificados polo atacante. As vulnerabilidades CVE-2021-42378 a CVE-2021-42386 afectan á utilidade awk e poden levar á execución de código, pero para iso o atacante debe asegurarse de que un determinado patrón se execute en awk (é necesario executar awk cos datos recibidos). do atacante).
Ademais, tamén pode observar unha vulnerabilidade (CVE-2021-43523) nas bibliotecas uclibc e uclibc-ng, debido ao feito de que ao acceder ás funcións gethostbyname(), getaddrinfo(), gethostbyaddr() e getnameinfo(), o o nome de dominio non está verificado e o nome limpo devolve o servidor DNS. Por exemplo, en resposta a unha determinada solicitude de resolución, un servidor DNS controlado por un atacante pode devolver hosts como “alert('xss').attacker.com” e devolveranse sen cambios a algún programa. que, sen limpar pode mostralos na interface web. O problema solucionouse na versión de uclibc-ng 1.0.39 engadindo código para comprobar a corrección dos nomes de dominio devoltos, implementado de forma similar a Glibc.
Fonte: opennet.ru