Descubiertas nuevas vulnerabilidades de Linux.
Los investigadores de seguridad de jFrog y Claroty informaron sobre el descubrimiento de 14 vulnerabilidades en la utilidad BusyBox Linux.
Vulnerabilidades de BusyBox Linux: desde CVE-2021-42373 hasta CVE-2021-42386
¿Qué es BusyBox?? BusyBox proporciona comandos para el entorno Linux integrado dentro de Android. Consiste en utilidades útiles de Linux, conocidos como applets, empaquetado como un solo ejecutable.
BusyBox también tiene un caparazón completo, un cliente / servidor DHCP, y pequeñas utilidades como cp, ls, grep, y otros. Muchos dispositivos OT e IoT se ejecutan en el programa, incluidos los PLC (controladores lógicos programables), HMI (interfaces hombre-máquina), y RTU (unidades terminales remotas).
las vulnerabilidades, desde CVE-2021-42373 hasta CVE-2021-42386, afectar a las versiones de BusyBox desde 1.16 a 1.33.1. podrían causar condiciones de denegación de servicio, y en circunstancias específicas incluso podría causar fugas de datos y ejecución remota de código, los investigadores advirtieron.
“Dado que los applets afectados no son demonios, cada vulnerabilidad solo puede explotarse si el subprograma vulnerable se alimenta con datos no confiables (generalmente a través de un argumento de línea de comandos),”Dijeron los investigadores.
La conclusión del informe es que, en general, las vulnerabilidades no plantean grandes riesgos de seguridad debido a las siguientes razones:
1. Las vulnerabilidades DoS son triviales de explotar, pero el impacto generalmente se mitiga por el hecho de que los subprogramas casi siempre se ejecutan como un proceso bifurcado separado.
2. La vulnerabilidad de fuga de información no es trivial de explotar. (ver, Siguiente sección).
3. Las vulnerabilidades use-after-free pueden aprovecharse para la ejecución remota de código, pero actualmente no intentamos crear un exploit armado para ellos. Adicionalmente, es bastante raro (e inherentemente inseguro) para procesar un patrón awk desde una entrada externa.
No obstante, parchear es necesario. La buena noticia es que todos 14 Las fallas se han corregido en BusyBox. 1.34.0.
"Si no es posible actualizar BusyBox (debido a necesidades específicas de compatibilidad de versiones), BusyBox 1.33.1 y las versiones anteriores se pueden compilar sin la funcionalidad vulnerable (applets) como una solución," el informe señaló.
A principios de este mes, una vulnerabilidad de seguridad en la comunicación transparente entre procesos del kernel de Linux (TIPC) fue descubierto. La falla se puede explotar tanto de forma local como remota, permitiendo la ejecución de código arbitrario dentro del kernel. El resultado de esto sería hacerse cargo de los dispositivos vulnerables.. La puntuación CVSS de CVE-2021-43267 es 9.8, haciendo que la vulnerabilidad sea muy grave y peligrosa.