Các nhà nghiên cứu từ Claroty và JFrog đã công bố kết quả kiểm tra bảo mật của gói BusyBox, được sử dụng rộng rãi trong các thiết bị nhúng và cung cấp một bộ tiện ích UNIX tiêu chuẩn được đóng gói trong một tệp thực thi duy nhất. Trong quá trình quét, 14 lỗ hổng đã được xác định và đã được sửa trong bản phát hành BusyBox 1.34 vào tháng XNUMX. Hầu hết tất cả các vấn đề đều vô hại và đáng nghi ngờ từ quan điểm sử dụng trong các cuộc tấn công thực tế, vì chúng yêu cầu chạy các tiện ích với các đối số nhận được từ bên ngoài.
Một lỗ hổng khác là CVE-2021-42374, cho phép bạn từ chối dịch vụ khi xử lý tệp nén được thiết kế đặc biệt bằng tiện ích unlzma và trong trường hợp lắp ráp với các tùy chọn CONFIG_FEATURE_SEAMLESS_LZMA, cũng như với bất kỳ thành phần BusyBox nào khác, bao gồm tar, giải nén, vòng/phút, dpkg, lzma và man.
Các lỗ hổng CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 và CVE-2021-42377 có thể gây ra tình trạng từ chối dịch vụ nhưng yêu cầu chạy các tiện ích man, tro và im lặng với các tham số do kẻ tấn công chỉ định. Các lỗ hổng CVE-2021-42378 đến CVE-2021-42386 ảnh hưởng đến tiện ích awk và có khả năng dẫn đến việc thực thi mã, nhưng để làm được điều này, kẻ tấn công cần đảm bảo rằng một mẫu nhất định được thực thi trong awk (cần phải chạy awk với dữ liệu nhận được từ kẻ tấn công).
Ngoài ra, bạn cũng có thể lưu ý lỗ hổng (CVE-2021-43523) trong thư viện uclibc và uclibc-ng, do khi truy cập vào các hàm gethostbyname(), getaddrinfo(), gethostbyaddr() và getnameinfo(), tên miền không được kiểm tra và làm sạch tên được máy chủ DNS trả về. Ví dụ: để đáp lại một yêu cầu phân giải nhất định, máy chủ DNS do kẻ tấn công kiểm soát có thể trả về các máy chủ như “ alert(‘xss’) .Attacker.com" và chúng sẽ được trả về không thay đổi cho một số chương trình mà không cần dọn dẹp, có thể hiển thị chúng trong giao diện web mà không cần dọn dẹp. Sự cố đã được khắc phục trong bản phát hành uclibc-ng 1.0.39 bằng cách thêm mã để kiểm tra tính chính xác của tên miền được trả về, được triển khai tương tự như Glibc.
Nguồn: opennet.ru