I ricercatori di Claroty e JFrog hanno pubblicato i risultati di un controllo di sicurezza di BusyBox, un pacchetto ampiamente utilizzato nei dispositivi embedded che offre una serie di utilità UNIX standard impacchettate come un singolo file eseguibile. L'audit ha identificato 14 vulnerabilità che sono già state corrette nella versione di agosto di BusyBox 1.34. Quasi tutti i problemi sono innocui e discutibili dal punto di vista dell'utilizzo in attacchi reali, poiché richiedono l'esecuzione di utilità con argomenti ricevuti dall'esterno.
Separatamente, viene individuata la vulnerabilità CVE-2021-42374, che consente di causare un denial of service durante l'elaborazione di un file compresso appositamente progettato con l'utilità unlzma e, nel caso di compilazione dalle opzioni CONFIG_FEATURE_SEAMLESS_LZMA, anche da qualsiasi altra BusyBox componenti, inclusi tar, unzip, rpm, dpkg, lzma e man .
Le vulnerabilità CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 e CVE-2021-42377 possono causare un Denial of Service, ma richiedono che le utility man, ash e hush vengano eseguite con parametri specificati dall'attaccante . Le vulnerabilità da CVE-2021-42378 a CVE-2021-42386 influiscono sull'utilità awk e possono potenzialmente portare all'esecuzione di codice, ma per questo l'attaccante deve eseguire un determinato pattern in awk (è necessario avviare awk con i dati ricevuti dall'attaccante).
Inoltre, si può notare una vulnerabilità (CVE-2021-43523) nelle librerie uclibc e uclibc-ng, legata al fatto che quando si accede alle funzioni gethostbyname(), getaddrinfo(), gethostbyaddr() e getnameinfo(), il il nome di dominio non viene controllato e pulito il nome restituito dal server DNS. Ad esempio, in risposta a una determinata richiesta di risoluzione, un server DNS controllato da un utente malintenzionato può restituire host della forma " alert(‘xss’) .attacker.com" e verranno restituiti invariati a qualche programma in grado di visualizzarli nell'interfaccia web senza pulirli. Il problema è stato risolto nella versione uclibc-ng 1.0.39 aggiungendo codice per convalidare i nomi di dominio restituiti, simile a Glibc.
Fonte: opennet.ru