Onderzoekers hebben 14 kritieke kwetsbaarheden ontdekt in een populair programma dat wordt gebruikt in embedded Linux-applicaties, die allemaal denial of service (DoS) mogelijk maken en 10 die ook remote code-uitvoering (RCE) mogelijk maken, zeiden ze.
Volgens onderzoekers van JFrog Security en Claroty Research kan een van de fouten er ook voor zorgen dat apparaten informatie kunnen lekken, in een rapport dat dinsdag met Threatpost is gedeeld.
De twee bedrijven werkten samen om een diepere duik te nemen in BusyBox, een softwaresuite die wordt gebruikt door veel van ’s werelds toonaangevende operationele technologie (OT) en internet of things (IoT) -apparaten, zoals programmeerbare logische controllers (PLC’s), mens-machine-interfaces (HMI’s) en remote terminal units (RTU’s). Shachar Menashe, senior director security research voor JFrog, werkte samen met Vera Mens, Uri Katz, Tal Keren en Sharon Brizinov van Claroty Research aan het rapport.
Aangeprezen als een “Zwitsers zakmes” van embedded Linux, bestaat BusyBox uit handige Unix-hulpprogramma’s, applets genaamd, die zijn verpakt als een enkel uitvoerbaar bestand. Het programma bevat een volwaardige shell, een DHCP-client/server en kleine hulpprogramma’s zoals cp, ls, grep en andere.
De ontdekking van de gebreken is belangrijk vanwege de verspreiding van BusyBox, niet alleen voor de embedded Linux-wereld, maar ook voor tal van Linux-applicaties buiten apparaten, zei Menashe in een e-mail aan Threatpost.
“Deze nieuwe kwetsbaarheden die we hebben onthuld, manifesteren zich alleen in specifieke gevallen, maar kunnen extreem problematisch zijn als ze kunnen worden misbruikt”, zei hij. Het goede nieuws voor de beveiliging van apparaten die BusyBox gebruiken, is echter dat de kwetsbaarheden over het algemeen een beetje inspanning vergen om te exploiteren, meldden onderzoekers.
Uitsplitsing van gebreken
De kwetsbaarheden worden gevolgd met CVE-ID’s van CVE-2021-42373 tot en met CVE-2021-42386 en beïnvloeden verschillende versies van BusyBox, variërend van 1.16-1.33.1, afhankelijk van de fout. Ze beïnvloeden ook een verscheidenheid aan applets, waaronder één die elk afzonderlijk “man”, “lzma/unizma” en “ash” beïnvloedt; twee afzonderlijke gebreken die van invloed zijn op “stilte”; en negen afzonderlijke fouten die van invloed zijn op “awk”, de applet met de meeste kwetsbaarheden.
Omdat de applets geen daemons zijn, kan elke fout alleen worden misbruikt als de kwetsbare applet wordt gevoed met niet-vertrouwde gegevens, meestal via een opdrachtregelargument, schreven onderzoekers. Het team publiceerde een uitgebreid overzicht van elke kwetsbaarheid, de applet die het beïnvloedt, en het potentieel voor misbruik in zijn rapport.
In totaal bevat 40 procent van de firmware die BusyBox gebruikt en die onderzoekers hebben geïnspecteerd een BusyBox-uitvoerbaar bestand dat is gekoppeld aan een van de getroffen applets, waardoor het probleem “extreem wijdverbreid is onder op Linux gebaseerde embedded firmware”, schreven ze. De kwetsbaarheden vormen momenteel echter om een aantal redenen geen kritieke bedreiging voor de getroffen apparaten, merkten onderzoekers op in de analyse, waaronder de bovengenoemde exploit-complexiteit.
