Claroty-ի և JFrog-ի հետազոտողները հրապարակել են BusyBox փաթեթի անվտանգության աուդիտի արդյունքները, որը լայնորեն օգտագործվում է ներկառուցված սարքերում և առաջարկում է ստանդարտ UNIX կոմունալ ծառայությունների փաթեթ՝ փաթեթավորված մեկ գործարկվող ֆայլում: Սկանավորման ընթացքում հայտնաբերվել են 14 խոցելիություններ, որոնք արդեն շտկվել են BusyBox 1.34 օգոստոսյան թողարկումում։ Գրեթե բոլոր խնդիրներն անվնաս են և կասկածելի իրական հարձակումներում օգտագործելու տեսանկյունից, քանի որ դրանք պահանջում են գործարկել կոմունալ ծառայություններ՝ դրսից ստացված փաստարկներով:
Առանձին խոցելիություն է CVE-2021-42374, որը թույլ է տալիս սպասարկման մերժում առաջացնել unlzma կոմունալով հատուկ մշակված սեղմված ֆայլը մշակելիս, իսկ CONFIG_FEATURE_SEAMLESS_LZMA ընտրանքների հետ հավաքման դեպքում, ինչպես նաև BusyBox-ի ցանկացած այլ բաղադրիչով, ներառյալ: tar, unzip, rpm, dpkg, lzma and man .
CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 և CVE-2021-42377 խոցելիությունները կարող են առաջացնել սպասարկման մերժում, սակայն պահանջում են գործարկել մարդ, մոխիր և դադար կոմունալ ծառայություններ՝ հարձակվողի կողմից նշված պարամետրերով: CVE-2021-42378-ից մինչև CVE-2021-42386 խոցելիությունները ազդում են awk օգտակար ծառայության վրա և կարող են հանգեցնել կոդի կատարման, սակայն դրա համար հարձակվողը պետք է ապահովի, որ որոշակի օրինաչափություն կատարվի awk-ում (անհրաժեշտ է awk գործարկել ստացված տվյալների հետ: հարձակվողից):
Բացի այդ, դուք կարող եք նաև նշել խոցելիություն (CVE-2021-43523) uclibc և uclibc-ng գրադարաններում, ինչը պայմանավորված է նրանով, որ gethostbyname(), getaddrinfo(), gethostbyaddr() և getnameinfo() ֆունկցիաներին մուտք գործելիս՝ տիրույթի անունը չի ստուգվում և մաքրված անունը վերադարձվում է DNS սերվերի կողմից: Օրինակ՝ ի պատասխան որոշակի լուծման հարցման, հարձակվողի կողմից վերահսկվող DNS սերվերը կարող է վերադարձնել «alert('xss').attacker.com» հոսթերը, և դրանք անփոփոխ կվերադարձվեն որևէ ծրագրի: որ, առանց մաքրման կարող է ցուցադրել դրանք վեբ ինտերֆեյսում: Խնդիրը շտկվել է uclibc-ng 1.0.39-ի թողարկման ժամանակ՝ ավելացնելով կոդ՝ վերադարձված տիրույթների անունների ճշգրտությունը ստուգելու համար, որոնք իրականացվել են Glibc-ի նման:
Source: opennet.ru