lunes, 4 de septiembre de 2017

Grave vulnerabilidad en LabVIEW será finalmente parcheada

El investigador Cory Duplantis (@ctfhacker) de la firma de seguridad Cisco Talos, ha hecho público recientemente un reporte de una vulnerabilidad de ejecución arbitraria de código, que afectaría a LabVIEW, y que, tras la repercusión en los medios, el fabricante ha decidido finalmente planificar un parche para solucionarla.

LabVIEW de National Instruments

LabVIEW, de la empresa National Instruments, es una plataforma y entorno de desarrollo para diseñar sistemas, con un lenguaje de programación visual gráfico. Recomendado para sistemas hardware y software de pruebas, control y diseño, simulado o real y embebido, pues acelera la productividad.

La vulnerabilidad 

Según Duplantis , la vulnerabilidad (CVE-2017-2779se presentaría a la hora de cargar ficheros VI especialmente manipulados.

Este formato propietario (VI), es bastante potente y flexible, por lo que es equiparable a un fichero EXE o DLL, y permite de serie, ejecutar código embebido. El propio fabricante recomienda, por tanto, no abrir ficheros VI provenientes de orígenes desconocidos o no fiables, como pudiera ser un correo electrónico o un archivo descargado directamente de Internet.

Según su investigación, el problema principal reside a la hora de procesar el segmento RSRC del fichero VI y cargarlo en memoria. En concreto durante el proceso encargado del contador de bucle, que podría ser modificado por un atacante para provocar una escritura fuera de límites y elevar permisos de seguridad, permitiendo la ejecución de código arbitrario.

La polémica

Aunque parecía evidente la gravedad de la vulnerabilidad reportada por Duplantis, el fabricante comunicó a Talos que no iba a actualizar esta incidencia en su software por no considerarla una vulnerabilidad grave.

Sin embargo, Talos recordaba en su reporte que esta vulnerabilidad (reportada a la firma en enero de este año) era similar a la parcheada por Microsoft y su entorno .NET (CVE-2007-0041) por lo que recomendaba al fabricante tomar las medidas oportunas 
A los pocos días, firmas como 0patch ya estaban ofreciendo micro parches para solucionarlo, e incluso mostraban abiertamente lo sencillo de su solución, tanto en una extensa entrada en su blog, como en éste vídeo: 


National Instruments, ante estos hechos, ha recapacitado y planificado un parche para resolverla, que será liberado próximamente, actualizando además, el listado de versiones afectadas: 

LabVIEW 2017
LabVIEW 2016
LabVIEW 2015
LabVIEW 2014 


Más información: 

https://twitter.com/ctfhacker 

National Instruments LabVIEW RSRC Arbitrary Null Write Code Execution Vulnerability 
Vulnerability SpotlightCode Execution Vulnerability in LabVIEW 
Incomplete RSRC Validation in LabVIEW 
Security Best Practices for LabVIEW VI Files  
0patching the RSRC Arbitrary NULL Write Vulnerability in LabVIEW (CVE-2017-2779)