Investigadores de JFrog Security y Claroty Research revelaron, el martes 14, vulnerabilidades críticas en la utilidad BusyBox de Linux que podrían ser explotadas para provocar una condición de denegación de servicio (DoS) y, en algunos casos, incluso conducir a fugas de información y ejecución remota de código.
Las debilidades de seguridad, rastreadas desde la CVE-2021-42373 hasta la CVE-2021-42386, afectan a múltiples versiones de la herramienta que van desde la 1.16 hasta la 1.33.1.
BusyBox, apodado «la navaja suiza de los Linux integrados», es un paquete de software ampliamente utilizado que combina una serie de utilidades o applets comunes de Linux (por ejemplo, cp, ls, grep) en un único archivo ejecutable que puede invocarse en sistemas Linux, así como en controladores lógicos programables (PLC), interfaces hombre-máquina (HMI) y unidades terminales remotas (RTU).
A continuación se presenta una lista rápida de los fallos y de los comandos a los que afectan:
man – CVE-2021-42373
lzma/unlzma – CVE-2021-42374
ash – CVE-2021-42375
hush – CVE-2021-42376, CVE-2021-42377
awk – CVE-2021-42378, CVE-2021-42379, CVE-2021-42380, CVE-2021-42381, CVE-2021-42382, CVE-2021-42383, CVE-2021-42384, CVE-2021-42385, CVE-2021-42386
Al suministrar datos no confiables a través del intérprete de comandos a busybox, es posible realizar una explotación exitosa que podría resultar en una denegación de servicio, la divulgación inadvertida de
Correcciones y soluciones
Si la actualización de BusyBox no es posible (debido a necesidades específicas de compatibilidad de versiones), BusyBox 1.33.1 y versiones anteriores pueden ser compiladas sin la funcionalidad vulnerable (comandos específicos/applets) como una solución.
Las consecuencias finales se irán viendo con el paso del tiempo. Una de las tareas pendientes en el mundo de los dispositivos embebidos es la posibilidad de poder realizar las actualizaciones de forma simple y confiable.
Los fabricantes de dispositivos que inundan el mercado de los sistemas embebidos, SetBox, reproductores multimedia, teléfonos móviles, así como en controladores lógicos programables (PLC), interfaces hombre-máquina (HMI) y unidades terminales remotas (RTU) no actualizan los firmware de los dispositivos todo lo que desearían las empresas y consumidores.
Referencias:
- Claroty: https://claroty.com/2021/11/09/blog-research-unboxing-busybox-14-vulnerabilities-uncovered-by-claroty-jfrog/
- JFrog: https://jfrog.com/blog/unboxing-busybox-14-new-vulnerabilities-uncovered-by-claroty-and-jfrog/
- BusyBox: https://www.busybox.net/
Deja una respuesta