Adam Bannister 03 Şubat 2023, 16:36 UTC
Güncellendi: 03 Şubat 2023, 16:37 UTC
Yol geçişleri ‘tersine mühendislik çabalarını geçersiz kılabilir ve toplanan kanıtları kurcalayabilir’
Güvenlik analiz aracı Binwalk’un kendisi, uzaktan kod yürütülmesine (RCE) yol açabilecek bir yol geçişi güvenlik açığı nedeniyle güncel olmayan sürümleri çalıştıran kullanıcılar için bir güvenlik riski oluşturur.
Binwalk, Linux’ta ürün yazılımı görüntülerini analiz etmek, tersine mühendislik yapmak ve çıkarmak için kullanılan popüler bir komut satırı aracıdır.
ONEKEY Araştırma Laboratuvarı’ndan Quentin Kaiser tarafından yayınlanan bir güvenlik danışma belgesine göre, yol geçişi sorunu, kullanıcıların “ayıklama modunu (seçenek) kullanarak binwalk ile kötü amaçlı bir dosya açmasını” gerektirir, bu nedenle kullanıcı etkileşimi gerekir.
Açık, CVE-2022-4510 olarak izlenir ve yüksek önem derecesi (CVSS 7.8) olarak sınıflandırılır.
Ana neden
Güvenlik açığı, Profesyonel Dosya Sistemi (PFS) çıkarıcı eklentisinin binwalk ile 2017’de birleştirilmesiyle ortaya çıktı ve yol geçişi riskini azaltma girişimi başarısız olduğu için ortaya çıktı.
Sonuç şu ki, altı yıl sonra, Kayseri “geçiş dizisini içeren dosya adlarıyla geçerli bir PFS dosya sistemi oluşturarak, binwalk’u dosyaları çıkarma dizininin dışına yazmaya zorlayabileceğimizi” keşfetti.
PFS, gömülü aygıtlarda ara sıra bulunan belirsiz bir dosya sistemi biçimidir.
‘Çevre agnostiği’
Kaiser, RCE’ye “çevreden bağımsız” bir yol elde etmek amacıyla binwalk’ın eklenti sistemini hedef aldı.
Eklentiler, Python aracının eklenti dizinine bırakıldıktan sonra tüm binwalk taramalarına yüklenir.
Kaiser, “Dolayısıyla, bu konumda geçerli bir eklenti yazmak için yol geçişinden yararlanırsak, binwalk onu hemen alır ve kötü amaçlı dosyayı taramaya devam ederken onu çalıştırır,” dedi. “Üstelik, PFS çıkarıcı, gerekli tüm dizinleri yoksa oluşturmaya özen gösterir, böylece üzerinde çalıştığımız sistemden herhangi bir şey beklememize gerek kalmaz.”
Kaiser, “amacını tanımlayan açık bir MODULE niteliği (örneğin, imza taraması, entropi hesaplaması, sıkıştırma akışı tanımlaması) tanımlamadığı için iki kez çalıştırılan” kötü amaçlı bir eklenti hazırladı. Kendi kendine temizlemek için bu davranıştan yararlanıyorum.
Güvenlik açığı bulunan sürümler, 2.1.2b’den 2.3.3’e (dahil) kadar uzanır. Güvenlik açığı dün (2 Şubat) binwalk 2.3.4 sürümünün yayınlanmasıyla giderildi – ONEKEY’in Ekim 2022’de aracın bakımcısı Microsoft’a ait Refirm Labs ile ilk kez iletişime geçtiğini ve önerilen bir yama sağladığını söylemesinden üç ay sonra.
Yaffşiv
Kaiser’in araştırması ayrıca diğer dosya sistemi ayıklayıcılarını, yani ubi_reader, Jefferson, yaffshiv projelerini etkileyen benzer, orta şiddette CVE’leri ortaya çıkardı.
Kaiser, tamamen güncel binwalk örneklerinin bile aynı yararlanma zincirine karşı potansiyel olarak savunmasız olduğu konusunda uyardı çünkü yaffshiv binwalk’ta varsayılan olarak kurulu ve etkin, ancak saldırı vektörü PFS yerine YAFFS olacaktır.
Kaiser, “Yaffshiv’in bakımı binwalk’ın arkasındaki ekip tarafından sağlanıyor, bu nedenle yakında bir düzeltmenin bulunacağını umuyoruz” dedi. günlük yudum.
“Güvenli biçim ayrıştırıcıları ve ayıklayıcıları yazmak karmaşık bir iştir (bize inanın, tam olarak bu sorunlar üzerinde çalışıyoruz. [our own extraction suite] Unblob), desteklediği format miktarı göz önüne alındığında binwalk’ta bu tür güvenlik açıklarını bulmamız şaşırtıcı değil.”
faydalı hatırlatma
Araştırma, güvenlik araçlarının kendilerinin de güvenlik açıkları içerebileceğini hatırlatıyor. Kaiser, “Bu, özellikle adli tıp analizinde ve genellikle güvenilmeyen, potansiyel olarak kötü amaçlı dosyalarla karşılaştığımız tersine mühendislikte kritik hale geliyor” dedi.
“Bu makalede açıklanan yol geçişleri, herhangi bir tersine mühendislik çabasını geçersiz kılma ve toplanan kanıtları tahrif etme potansiyeline sahip olsa da, bu tür güvenlik açıklarının etkisini sınırlamak için korumalı alan analizi ortamlarının önemini de gösteriyor. Özellikle binwalk (örn. FACT, ofrak, EMBA) gibi araçlara dayanan otomatik çıkarma ve analiz araçlarının yükselişiyle birlikte, bu çözümlerin geliştiricilerinin ve kullanıcılarının risklerin farkında olması önemlidir.”
Kaiser, “muhtemelen benzer bir güvenlik açığından etkilendiği” için ‘D-Link RomFS’ eklentisinin bir sonraki araştırma odağı olabileceğini ima etti.
günlük yudum yorum için Refirm Labs’a başvurdu. Yanıt verirlerse ve ne zaman yanıt verirlerse bu makaleyi güncelleyeceğiz.
DAHA İLGİLİ ARAŞTIRMA WAGO, endüstriyel cihazlardan veri sızıntısını tehdit eden yapılandırma dışa aktarma kusurunu düzeltir