Исследователи кибербезопасности раскрыли данные по 14 критическим уязвимостям в утилите BusyBox под Linux, которые могут быть использованы для атак отказа в обслуживании (DoS) и, в отдельных случаях, даже привести к утечке информации и удаленному выполнению кода.
Слабые места в системе безопасности, отслеживаемые как CVE-2021-42373 - CVE-2021-42386, затрагивают множество версий утилиты, начиная с 1.16 по 1.33.1, сообщили в совместном отчете DevOps-компания JFrog и компания Claroty, занимающаяся промышленной кибербезопасностью.
Называемый «швейцарским армейским ножом Embedded Linux», BusyBox является широко используемым программным пакетом, объединяющим множество обычных Unix-утилит или апплетов (например, cp, ls, grep) в один исполняемый файл, который может работать на Linux-системах, таких как программируемые логические контроллеры (PLC), человеко-машинные интерфейсы (HMI) и удаленные терминалы (RTU).
Ниже приведен краткий список дефектов и апплетов, на которые они влияют:
- man - CVE-2021-42373
- lzma/unlzma - CVE-2021-42374
- ash - CVE-2021-42375
- hush - CVE-2021-42376, CVE-2021-42377
- awk - CVE-2021-42378, CVE-2021-42379, CVE-2021-42380, CVE-2021-42381, CVE-2021-42382, CVE-2021-42383, CVE-2021-42384, CVE-2021-42385, CVE-2021-42386
Успешная эксплуатация уязвимых апплетов, вызванная передачей недоверенных данных через командную строку, может привести к отказу в обслуживании, непреднамеренному раскрытию конфиденциальной информации и потенциальному выполнению произвольного кода. Слабые места были устранены в версии BusyBox 1.34.0, которая была выпущена 19 августа, после сообщения о недостатках разработчику.
«Нновые уязвимости, которые мы раскрыли, проявляются только в конкретных случаях, но могут создать кучу проблем если их проэксплуатируют злоумышленники» - заявил Шахар Менаше, старший директор по исследованиям безопасности в JFrog. «Распространенность BusyBox делает эту проблему требующей внимания со стороны команд безопасности. Поэтому мы призываем компании обновить версию BusyBox или убедиться, что они не используют ни один из затронутых апплетов».
Источник: https://thehackernews.com
