Nieuwe Linux-kwetsbaarheden ontdekt.
Beveiligingsonderzoekers van jFrog en Claroty meldden de ontdekking van: 14 kwetsbaarheden in het BusyBox Linux-hulpprogramma.
BusyBox Linux-kwetsbaarheden: van CVE-2021-42373 naar CVE-2021-42386
Wat is BusyBox? BusyBox biedt opdrachten voor embedded Linux-omgevingen binnen Android. Het bestaat uit handige Linux-hulpprogramma's, bekend als applets, verpakt als een enkel uitvoerbaar bestand.
BusyBox heeft ook een volwaardige shell, een DHCP-client/server, en kleine hulpprogramma's zoals cp, ls, grep, en anderen. Veel OT- en IoT-apparaten draaien op het programma, inclusief PLC's (programmeerbare logische controllers), HMI's (mens-machine-interfaces), en RTU's (remote terminal units).
de beveiligingslekken, van CVE-2021-42373 naar CVE-2021-42386, beïnvloeden BusyBox-versies van 1.16 aan 1.33.1. ze kunnen denial-of-service-omstandigheden veroorzaken, en in specifieke omstandigheden zelfs datalekken en uitvoering van externe code kunnen veroorzaken, de onderzoekers waarschuwden.
“Omdat de getroffen applets geen daemons zijn, elke kwetsbaarheid kan alleen worden misbruikt als de kwetsbare applet wordt gevoed met niet-vertrouwde gegevens (meestal via een opdrachtregelargument),”Aldus de onderzoekers.
De conclusie van het rapport is dat:, globaal, de kwetsbaarheden vormen om de volgende redenen geen grote veiligheidsrisico's::
1. De DoS-kwetsbaarheden zijn triviaal om te misbruiken, maar de impact wordt meestal verzacht door het feit dat applets bijna altijd als een afzonderlijk gevorkt proces worden uitgevoerd.
2. De kwetsbaarheid voor informatielekken is niet triviaal om te misbruiken (zie, volgende sectie).
3. De use-after-free-kwetsbaarheden kunnen misbruikt worden voor het uitvoeren van externe code, maar op dit moment hebben we niet geprobeerd om een bewapende exploit voor hen te maken. Bovendien, het is vrij zeldzaam (en inherent onveilig) om een awk-patroon van externe invoer te verwerken.
Niettemin, patchen is noodzakelijk. Het goede nieuws is dat alles 14 fouten zijn verholpen in BusyBox 1.34.0.
“Als het upgraden van BusyBox niet mogelijk is (vanwege specifieke vereisten voor versiecompatibiliteit), BusyBox 1.33.1 en eerdere versies kunnen worden gecompileerd zonder de kwetsbare functionaliteit (applets) als een tijdelijke oplossing," het verslag werd erop gewezen.
Eerder deze maand, een beveiligingsprobleem in de transparante interprocescommunicatie van de Linux-kernel (TIPC) was ontdekt. De fout kan zowel lokaal als op afstand worden misbruikt, uitvoering van willekeurige code mogelijk maken binnen de kernel. Het resultaat hiervan zou kwetsbare apparaten overnemen. De CVSS-score van CVE-2021-43267 is 9.8, waardoor de kwetsbaarheid zeer ernstig en gevaarlijk wordt.