Scoperte nuove vulnerabilità di Linux.
I ricercatori di sicurezza di jFrog e Claroty hanno riportato la scoperta di 14 vulnerabilità nell'utility BusyBox Linux.
Vulnerabilità di BusyBox Linux: da CVE-2021-42373 a CVE-2021-42386
Cos'è BusyBox?? BusyBox fornisce comandi per l'ambiente Linux integrato all'interno di Android. Consiste di utili utilità Linux, noto come applet, impacchettato come un singolo eseguibile.
BusyBox ha anche un guscio a tutti gli effetti, un client/server DHCP, e piccole utility come cp, LS, grep, e altri. Molti dispositivi OT e IoT vengono eseguiti sul programma, compresi i PLC (controllori logici programmabili), HMI (interfacce uomo-macchina), e RTU (unità terminali remote).
le vulnerabilità, da CVE-2021-42373 a CVE-2021-42386, influenzare le versioni di BusyBox da 1.16 a 1.33.1. potrebbero causare condizioni di negazione del servizio, e in circostanze specifiche potrebbe persino causare perdite di dati ed esecuzione di codice remoto, i ricercatori hanno messo in guardia.
"Dal momento che le applet interessate non sono demoni, ogni vulnerabilità può essere sfruttata solo se l'applet vulnerabile viene alimentata con dati non attendibili (di solito tramite un argomento della riga di comando),”I ricercatori hanno detto.
La conclusione del rapporto è che, complessivamente, le vulnerabilità non comportano grandi rischi per la sicurezza per i seguenti motivi:
1. Le vulnerabilità DoS sono banali da sfruttare, ma l'impatto è solitamente mitigato dal fatto che le applet vengono quasi sempre eseguite come un processo fork separato.
2. La vulnerabilità alla fuga di informazioni non è banale da sfruttare (vedere, sezione successiva).
3. Le vulnerabilità use-after-free possono essere sfruttate per l'esecuzione di codice in remoto, ma al momento non abbiamo tentato di creare un exploit per loro. In aggiunta, è abbastanza raro (e intrinsecamente pericoloso) per elaborare un pattern awk da un input esterno.
Ciò nonostante, la patch è necessaria. La buona notizia è che tutto 14 i difetti sono stati corretti in BusyBox 1.34.0.
"Se l'aggiornamento di BusyBox non è possibile (a causa di specifiche esigenze di compatibilità della versione), BusyBox 1.33.1 e le versioni precedenti possono essere compilate senza la funzionalità vulnerabile (applet) come soluzione alternativa," il rapporto ha sottolineato.
All'inizio di questo mese, una vulnerabilità di sicurezza nella comunicazione trasparente tra processi del kernel Linux (SUGGERIMENTO) fu scoperto. La falla può essere sfruttata sia in locale che da remoto, consentendo l'esecuzione di codice arbitrario all'interno del kernel. Il risultato sarebbe l'acquisizione di dispositivi vulnerabili. Il punteggio CVSS di CVE-2021-43267 è 9.8, rendendo la vulnerabilità estremamente grave e pericolosa.