Múltiples fallos de seguridad de BusyBox amenazan a los dispositivos IoT Hispasec @unaaldia

Investigadores de JFrog Security y Claroty Research revelaron, el martes 14, vulnerabilidades críticas en la utilidad BusyBox de Linux que podrían ser explotadas para provocar una condición de denegación de servicio (DoS) y, en algunos casos, incluso conducir a fugas de información y ejecución remota de código.

Las debilidades de seguridad, rastreadas desde la CVE-2021-42373 hasta la CVE-2021-42386, afectan a múltiples versiones de la herramienta que van desde la 1.16 hasta la 1.33.1.

BusyBox, apodado «la navaja suiza de los Linux integrados», es un paquete de software ampliamente utilizado que combina una serie de utilidades o applets comunes de Linux (por ejemplo, cp, ls, grep) en un único archivo ejecutable que puede invocarse en sistemas Linux, así como en controladores lógicos programables (PLC), interfaces hombre-máquina (HMI) y unidades terminales remotas (RTU).

A continuación se presenta una lista rápida de los fallos y de los comandos a los que afectan:

man – CVE-2021-42373

lzma/unlzma – CVE-2021-42374

ash – CVE-2021-42375

hush – CVE-2021-42376, CVE-2021-42377

awk – CVE-2021-42378, CVE-2021-42379, CVE-2021-42380, CVE-2021-42381, CVE-2021-42382, CVE-2021-42383, CVE-2021-42384, CVE-2021-42385, CVE-2021-42386

Al suministrar datos no confiables a través del intérprete de comandos a busybox, es posible realizar una explotación exitosa que podría resultar en una denegación de servicio, la divulgación inadvertida de

Correcciones y soluciones

Si la actualización de BusyBox no es posible (debido a necesidades específicas de compatibilidad de versiones), BusyBox 1.33.1 y versiones anteriores pueden ser compiladas sin la funcionalidad vulnerable (comandos específicos/applets) como una solución.

Las consecuencias finales se irán viendo con el paso del tiempo. Una de las tareas pendientes en el mundo de los dispositivos embebidos es la posibilidad de poder realizar las actualizaciones de forma simple y confiable.

Los fabricantes de dispositivos que inundan el mercado de los sistemas embebidos, SetBox, reproductores multimedia, teléfonos móviles, así como en controladores lógicos programables (PLC), interfaces hombre-máquina (HMI) y unidades terminales remotas (RTU) no actualizan los firmware de los dispositivos todo lo que desearían las empresas y consumidores.

Referencias:

<!–
–>
Fuente obtenida de: https://unaaldia.hispasec.com/2021/11/multiples-fallos-de-seguridad-de-busybox-amenazan-a-los-dispositivos-iot.html

Compartelo en las redes sociales

Compartir en facebook Compartir en google+ Compartir en twitter Compartir en pinterest Compartir en likedin Compartir en WhatsApp

Sobre Kamal Majaiti 1561 artículos
Administrador de sistemas e informático por vocación.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.