Seguridad

Múltiples fallos de seguridad de BusyBox amenazan a los dispositivos IoT

Investigadores de JFrog Security y Claroty Research revelaron, el martes 14, vulnerabilidades críticas en la utilidad BusyBox de Linux que podrían ser explotadas para provocar una condición de denegación de servicio (DoS) y, en algunos casos, incluso conducir a fugas de información y ejecución remota de código.

Las debilidades de seguridad, rastreadas desde la CVE-2021-42373 hasta la CVE-2021-42386, afectan a múltiples versiones de la herramienta que van desde la 1.16 hasta la 1.33.1.

BusyBox, apodado «la navaja suiza de los Linux integrados», es un paquete de software ampliamente utilizado que combina una serie de utilidades o applets comunes de Linux (por ejemplo, cp, ls, grep) en un único archivo ejecutable que puede invocarse en sistemas Linux, así como en controladores lógicos programables (PLC), interfaces hombre-máquina (HMI) y unidades terminales remotas (RTU).

A continuación se presenta una lista rápida de los fallos y de los comandos a los que afectan:

man – CVE-2021-42373

lzma/unlzma – CVE-2021-42374

ash – CVE-2021-42375

hush – CVE-2021-42376, CVE-2021-42377

awk – CVE-2021-42378, CVE-2021-42379, CVE-2021-42380, CVE-2021-42381, CVE-2021-42382, CVE-2021-42383, CVE-2021-42384, CVE-2021-42385, CVE-2021-42386

Al suministrar datos no confiables a través del intérprete de comandos a busybox, es posible realizar una explotación exitosa que podría resultar en una denegación de servicio, la divulgación inadvertida de

Correcciones y soluciones

Si la actualización de BusyBox no es posible (debido a necesidades específicas de compatibilidad de versiones), BusyBox 1.33.1 y versiones anteriores pueden ser compiladas sin la funcionalidad vulnerable (comandos específicos/applets) como una solución.

Las consecuencias finales se irán viendo con el paso del tiempo. Una de las tareas pendientes en el mundo de los dispositivos embebidos es la posibilidad de poder realizar las actualizaciones de forma simple y confiable.

Los fabricantes de dispositivos que inundan el mercado de los sistemas embebidos, SetBox, reproductores multimedia, teléfonos móviles, así como en controladores lógicos programables (PLC), interfaces hombre-máquina (HMI) y unidades terminales remotas (RTU) no actualizan los firmware de los dispositivos todo lo que desearían las empresas y consumidores.

Referencias:

La entrada Múltiples fallos de seguridad de BusyBox amenazan a los dispositivos IoT se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.