Onderzoekers van Claroty en JFrog hebben de resultaten gepubliceerd van een beveiligingsaudit van BusyBox, een pakket dat veel wordt gebruikt in embedded apparaten en dat een set standaard UNIX-hulpprogramma's biedt, verpakt als één uitvoerbaar bestand. De audit heeft 14 kwetsbaarheden geïdentificeerd die al zijn opgelost in de augustusversie van BusyBox 1.34. Bijna alle problemen zijn onschadelijk en twijfelachtig vanuit het oogpunt van gebruik bij echte aanvallen, omdat ze het uitvoeren van hulpprogramma's vereisen met argumenten die van buitenaf worden ontvangen.
Daarnaast wordt de kwetsbaarheid CVE-2021-42374 benadrukt, waardoor u een denial of service kunt veroorzaken bij het verwerken van een speciaal ontworpen gecomprimeerd bestand met het hulpprogramma unlzma, en in het geval van bouwen vanuit de CONFIG_FEATURE_SEAMLESS_LZMA-opties, ook door een andere BusyBox componenten, waaronder tar, unzip, rpm, dpkg, lzma en man.
Kwetsbaarheden CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 en CVE-2021-42377 kunnen een denial-of-service veroorzaken, maar vereisen dat de man-, ash- en hush-hulpprogramma's worden uitgevoerd met door de aanvaller opgegeven parameters . Kwetsbaarheden van CVE-2021-42378 tot CVE-2021-42386 beïnvloeden het awk-hulpprogramma en kunnen mogelijk leiden tot code-uitvoering, maar hiervoor moet de aanvaller een bepaald patroon in awk laten uitvoeren (het is noodzakelijk om awk te starten met de ontvangen gegevens van aanvaller).
Bovendien kan er ook een kwetsbaarheid (CVE-2021-43523) in de uclibc- en uclibc-ng-bibliotheken worden opgemerkt, gerelateerd aan het feit dat bij toegang tot de functies gethostbyname(), getaddrinfo(), gethostbyaddr() en getnameinfo() de domeinnaam is niet gecontroleerd en opgeschoond. de naam die wordt geretourneerd door de DNS-server. Als reactie op een bepaald oplossingsverzoek kan een DNS-server die wordt beheerd door een aanvaller bijvoorbeeld hosts retourneren in de vorm “ alert(‘xss’) .attacker.com" en ze worden onveranderd teruggestuurd naar een programma dat ze zonder opschoning in de webinterface kan weergeven. Het probleem is opgelost in de uclibc-ng 1.0.39-release door code toe te voegen om geretourneerde domeinnamen te valideren, vergelijkbaar met Glibc.
Bron: opennet.ru