El investigador Cory Duplantis (@ctfhacker) de la firma de seguridad Cisco Talos, ha hecho público recientemente un reporte de una vulnerabilidad de ejecución arbitraria de código, que afectaría a LabVIEW, y que, tras la repercusión en los medios, el fabricante ha decidido finalmente planificar un parche para solucionarla.
 |
| LabVIEW de National Instruments |
LabVIEW, de la empresa National Instruments, es una plataforma y entorno de desarrollo para diseñar sistemas, con un lenguaje de programación visual gráfico. Recomendado para sistemas hardware y software de pruebas, control y diseño, simulado o real y embebido, pues acelera la productividad.
La vulnerabilidad
Según Duplantis , la vulnerabilidad (CVE-2017-2779) se presentaría a la hora de cargar ficheros VI especialmente manipulados.
Este formato propietario (VI), es bastante potente y flexible, por lo que es equiparable a un fichero EXE o DLL, y permite de serie, ejecutar código embebido. El propio fabricante recomienda, por tanto, no abrir ficheros VI provenientes de orígenes desconocidos o no fiables, como pudiera ser un correo electrónico o un archivo descargado directamente de Internet.
Según su investigación, el problema principal reside a la hora de procesar el segmento RSRC del fichero VI y cargarlo en memoria. En concreto durante el proceso encargado del contador de bucle, que podría ser modificado por un atacante para provocar una escritura fuera de límites y elevar permisos de seguridad, permitiendo la ejecución de código arbitrario.
La polémica
Aunque parecía evidente la gravedad de la vulnerabilidad reportada por Duplantis, el fabricante comunicó a Talos que no iba a actualizar esta incidencia en su software por no considerarla una vulnerabilidad grave.
Sin embargo, Talos recordaba en su reporte que esta vulnerabilidad (reportada a la firma en enero de este año) era similar a la parcheada por Microsoft y su entorno .NET (CVE-2007-0041) por lo que recomendaba al fabricante tomar las medidas oportunas.
A los pocos días, firmas como 0patch ya estaban ofreciendo micro parches para solucionarlo, e incluso mostraban abiertamente lo sencillo de su solución, tanto en una extensa entrada en su blog, como en éste vídeo:
National Instruments, ante estos hechos, ha recapacitado y planificado un parche para resolverla, que será liberado próximamente, actualizando además, el listado de versiones afectadas:
LabVIEW 2017
LabVIEW 2016
LabVIEW 2015
LabVIEW 2014
LabVIEW 2016
LabVIEW 2015
LabVIEW 2014
Más información:
https://twitter.com/ctfhacker
National Instruments LabVIEW RSRC Arbitrary Null Write Code Execution Vulnerability
Vulnerability Spotlight: Code Execution Vulnerability in LabVIEW
Incomplete RSRC Validation in LabVIEW
Security Best Practices for LabVIEW VI Files
0patching the RSRC Arbitrary NULL Write Vulnerability in LabVIEW (CVE-2017-2779)
Deja un comentario