Home / Unlabelled / Grave vulnerabilidad en LabVIEW será finalmente parcheada

Grave vulnerabilidad en LabVIEW será finalmente parcheada

El investigador Cory Duplantis (@ctfhacker) de la firma de seguridad Cisco Talos, ha hecho público recientemente un reporte de una vulnerabilidad de ejecución arbitraria de código, que afectaría a LabVIEW, y que, tras la repercusión en los medios, el fabricante ha decidido finalmente planificar un parche para solucionarla.

LabVIEW de National Instruments

LabVIEW, de la empresa National Instruments, es una plataforma y entorno de desarrollo para diseñar sistemas, con un lenguaje de programación visual gráfico. Recomendado para sistemas hardware y software de pruebas, control y diseño, simulado o real y embebido, pues acelera la productividad.

La vulnerabilidad 

Según Duplantis , la vulnerabilidad (CVE-2017-2779se presentaría a la hora de cargar ficheros VI especialmente manipulados.

Este formato propietario (VI), es bastante potente y flexible, por lo que es equiparable a un fichero EXE o DLL, y permite de serie, ejecutar código embebido. El propio fabricante recomienda, por tanto, no abrir ficheros VI provenientes de orígenes desconocidos o no fiables, como pudiera ser un correo electrónico o un archivo descargado directamente de Internet.

Según su investigación, el problema principal reside a la hora de procesar el segmento RSRC del fichero VI y cargarlo en memoria. En concreto durante el proceso encargado del contador de bucle, que podría ser modificado por un atacante para provocar una escritura fuera de límites y elevar permisos de seguridad, permitiendo la ejecución de código arbitrario.

 La polémica

 Aunque parecía evidente la gravedad de la vulnerabilidad reportada por Duplantis, el fabricante comunicó a Talos que no iba a actualizar esta incidencia en su software por no considerarla una vulnerabilidad grave.

Sin embargo, Talos recordaba en su reporte que esta vulnerabilidad (reportada a la firma en enero de este año) era similar a la parcheada por Microsoft y su entorno .NET (CVE-2007-0041) por lo que recomendaba al fabricante tomar las medidas oportunas 
A los pocos días, firmas como 0patch ya estaban ofreciendo micro parches para solucionarlo, e incluso mostraban abiertamente lo sencillo de su solución, tanto en una extensa entrada en su blog, como en éste vídeo: 


National Instruments, ante estos hechos, ha recapacitado y planificado un parche para resolverla, que será liberado próximamente, actualizando además, el listado de versiones afectadas: 

LabVIEW 2017
LabVIEW 2016
LabVIEW 2015
LabVIEW 2014 


Más información: 

Cory Duplantis @ctfhacker 
https://twitter.com/ctfhacker 

National Instruments LabVIEW RSRC Arbitrary Null Write Code Execution Vulnerability 
https://www.talosintelligence.com/reports/TALOS-2017-0273/ 

Vulnerability SpotlightCode Execution Vulnerability in LabVIEW 
http://blog.talosintelligence.com/2017/08/vulnerability-spotlight-code-execution.html 

Incomplete RSRC Validation in LabVIEW 
http://www.ni.com/product-documentation/54099/en/ 

Security Best Practices for LabVIEW VI Files  
http://digital.ni.com/public.nsf/allkb/ECCA13EDE2300EFA86257FE100747965 

0patching the RSRC Arbitrary NULL Write Vulnerability in LabVIEW (CVE-2017-2779)  
https://0patch.blogspot.com.es/2017/09/0patching-rsrc-arbitrary-null-write.html


Via: unaaldia.hispasec.com
Grave vulnerabilidad en LabVIEW será finalmente parcheada Grave vulnerabilidad en LabVIEW será finalmente parcheada Reviewed by Zion3R on 5:01 Rating: 5

Tags