Meerdere BusyBox-beveiligingsbugs bedreigen embedded Linux-apparaten

Onderzoekers hebben 14 kritieke kwetsbaarheden ontdekt in een populair programma dat wordt gebruikt in embedded Linux-applicaties, die allemaal denial of service (DoS) mogelijk maken en 10 die ook remote code-uitvoering (RCE) mogelijk maken, zeiden ze.

Volgens onderzoekers van JFrog Security en Claroty Research kan een van de fouten er ook voor zorgen dat apparaten informatie kunnen lekken, in een rapport dat dinsdag met Threatpost is gedeeld.

De twee bedrijven werkten samen om een ​​diepere duik te nemen in BusyBox, een softwaresuite die wordt gebruikt door veel van ’s werelds toonaangevende operationele technologie (OT) en internet of things (IoT) -apparaten, zoals programmeerbare logische controllers (PLC’s), mens-machine-interfaces (HMI’s) en remote terminal units (RTU’s). Shachar Menashe, senior director security research voor JFrog, werkte samen met Vera Mens, Uri Katz, Tal Keren en Sharon Brizinov van Claroty Research aan het rapport.

Aangeprezen als een “Zwitsers zakmes” van embedded Linux, bestaat BusyBox uit handige Unix-hulpprogramma’s, applets genaamd, die zijn verpakt als een enkel uitvoerbaar bestand. Het programma bevat een volwaardige shell, een DHCP-client/server en kleine hulpprogramma’s zoals cp, ls, grep en andere.

De ontdekking van de gebreken is belangrijk vanwege de verspreiding van BusyBox, niet alleen voor de embedded Linux-wereld, maar ook voor tal van Linux-applicaties buiten apparaten, zei Menashe in een e-mail aan Threatpost.

“Deze nieuwe kwetsbaarheden die we hebben onthuld, manifesteren zich alleen in specifieke gevallen, maar kunnen extreem problematisch zijn als ze kunnen worden misbruikt”, zei hij. Het goede nieuws voor de beveiliging van apparaten die BusyBox gebruiken, is echter dat de kwetsbaarheden over het algemeen een beetje inspanning vergen om te exploiteren, meldden onderzoekers.

Uitsplitsing van gebreken

De kwetsbaarheden worden gevolgd met CVE-ID’s van CVE-2021-42373 tot en met CVE-2021-42386 en beïnvloeden verschillende versies van BusyBox, variërend van 1.16-1.33.1, afhankelijk van de fout. Ze beïnvloeden ook een verscheidenheid aan applets, waaronder één die elk afzonderlijk “man”, “lzma/unizma” en “ash” beïnvloedt; twee afzonderlijke gebreken die van invloed zijn op “stilte”; en negen afzonderlijke fouten die van invloed zijn op “awk”, de applet met de meeste kwetsbaarheden.

Omdat de applets geen daemons zijn, kan elke fout alleen worden misbruikt als de kwetsbare applet wordt gevoed met niet-vertrouwde gegevens, meestal via een opdrachtregelargument, schreven onderzoekers. Het team publiceerde een uitgebreid overzicht van elke kwetsbaarheid, de applet die het beïnvloedt, en het potentieel voor misbruik in zijn rapport.

In totaal bevat 40 procent van de firmware die BusyBox gebruikt en die onderzoekers hebben geïnspecteerd een BusyBox-uitvoerbaar bestand dat is gekoppeld aan een van de getroffen applets, waardoor het probleem “extreem wijdverbreid is onder op Linux gebaseerde embedded firmware”, schreven ze. De kwetsbaarheden vormen momenteel echter om een ​​aantal redenen geen kritieke bedreiging voor de getroffen apparaten, merkten onderzoekers op in de analyse, waaronder de bovengenoemde exploit-complexiteit.

Kop 1

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

Een dreigingsactor maakt misbruik van een zero-day-kwetsbaarheid in FatPipe’s virtual private network (VPN)-apparaten als een manier om bedrijven te hacken en…
Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Een door de staat gesteunde Iraanse dreigingsactor maakt gebruik van meerdere CVE’s – waaronder al maanden ernstige Fortinet-kwetsbaarheden en wekenlang een…
6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

Sky, een Britse breedbandprovider, liet de onderbuik van ongeveer 6 miljoen klanten bloot aan aanvallers die hun tanden op afstand in…