Μη προνομιούχοι εισβολείς μπορούν να αποκτήσουν πρόσβαση root σε πολλές μεγάλες διανομές Linux σε προεπιλεγμένες διαμορφώσεις, εκμεταλλευόμενοι μια ευπάθεια τοπικής κλιμάκωσης προνομίων (LPE) που αποκαλύφθηκε πρόσφατα στη
Βιβλιοθήκη
GNU C (glibc).
Παρακολούθηση ως
CVE-2023-6246
αυτό το ελάττωμα ασφαλείας βρέθηκε στη συνάρτηση __vsyslog_internal() του glibc, που καλείται από τις ευρέως χρησιμοποιούμενες συναρτήσεις syslog και vsyslog για την εγγραφή μηνυμάτων στο καταγραφικό μηνυμάτων συστήματος.
Το
σφάλμα οφείλεται σε α
αδυναμία υπερχείλισης buffer με βάση το σωρό
εισήχθη κατά λάθος στο glibc 2.37 τον Αύγουστο του 2022 και αργότερα έγινε backport στο glibc 2.36 κατά την αντιμετώπιση μιας λιγότερο σοβαρής ευπάθειας που παρακολουθείται ως CVE-2022-39046.
«Το ζήτημα υπερχείλισης buffer αποτελεί σημαντική απειλή καθώς θα μπορούσε να επιτρέψει την κλιμάκωση των τοπικών προνομίων, επιτρέποντας σε έναν μη προνομιούχο χρήστη να αποκτήσει πλήρη πρόσβαση root μέσω δημιουργημένων εισόδων σε εφαρμογές που χρησιμοποιούν αυτές τις λειτουργίες καταγραφής», είπαν οι ερευνητές ασφαλείας της Qualys.
“Αν και η ευπάθεια απαιτεί την εκμετάλλευση συγκεκριμένων συνθηκών (όπως ένα ασυνήθιστα μεγάλο argv[0] ή όρισμα openlog() ident), ο αντίκτυπός του είναι σημαντικός λόγω της ευρείας χρήσης της επηρεαζόμενης βιβλιοθήκης.”
Επηρεάζει τα συστήματα Debian, Ubuntu και Fedora
Κατά τη δοκιμή των ευρημάτων τους, η Qualys επιβεβαίωσε ότι τα Debian 12 και 13, Ubuntu 23.04 και 23.10 και Fedora 37 έως 39 ήταν όλα ευάλωτα σε εκμεταλλεύσεις CVE-
2023
-6246, επιτρέποντας σε οποιονδήποτε μη προνομιούχο χρήστη να κλιμακώσει τα προεπιλεγμένα δικαιώματα πρόσβασης σε πλήρη root εγκατάσταση.
Αν και οι δοκιμές τους περιορίστηκαν σε μια χούφτα διανομές, οι ερευνητές πρόσθεσαν ότι «και άλλες διανομές είναι πιθανώς επίσης αξιοποιήσιμες».
Κατά την ανάλυση του glibc για άλλα πιθανά ζητήματα ασφάλειας, οι ερευνητές βρήκαν επίσης τρία άλλα τρωτά σημεία, δύο από αυτά—δυσκολότερα στην εκμετάλλευση— στη συνάρτηση __vsyslog_internal() (CVE-2023-6779 και CVE-2023-6780) και ένα τρίτο (α
ζήτημα καταστροφής μνήμης
ακόμα περιμένει ένα CVEID) στη συνάρτηση qsort () του glibc.
“Αυτά τα ελαττώματα υπογραμμίζουν την κρίσιμη ανάγκη για αυστηρά μέτρα ασφαλείας στην ανάπτυξη λογισμικού, ειδικά για βασικές βιβλιοθήκες που χρησιμοποιούνται ευρέως σε πολλά συστήματα και εφαρμογές.”
είπε
Saeed Abbasi, Product Manager της Qualys’ Threat
Research
Unit.
Άλλα ελαττώματα κλιμάκωσης root Linux που εντοπίστηκαν από την Qualys
Τα τελευταία χρόνια, οι ερευνητές στο Qualys βρήκαν αρκετές άλλες ευπάθειες ασφαλείας Linux που μπορούν να επιτρέψουν στους εισβολείς να αποκτήσουν τον πλήρη έλεγχο των μη επιδιορθωμένων συστημάτων Linux, ακόμη και σε προεπιλεγμένες διαμορφώσεις.
Τα τρωτά σημεία που ανακάλυψαν περιλαμβάνουν ένα ελάττωμα στον δυναμικό φορτωτή ld.so του glibc (Looney Tunables), ένα στο στοιχείο pkeexec του Polkit (με το όνομα PwnKit), ένα άλλο στο επίπεδο συστήματος αρχείων του πυρήνα (με το όνομα Sequoia) και στο πρόγραμμα Sudo Unix (γνωστός και ως Baron Samedit) .
Μέρες μετά το ελάττωμα του Looney Tunables (
CVE-2023-4911
) αποκαλύφθηκε, εκμεταλλεύσεις απόδειξης της ιδέας (PoC) δημοσιεύτηκαν στο διαδίκτυο και οι φορείς απειλών άρχισαν να το εκμεταλλεύονται ένα μήνα αργότερα για να κλέψουν τα διαπιστευτήρια του παρόχου υπηρεσιών cloud (CSP) σε επιθέσεις κακόβουλου λογισμικού Kinsing.
Η συμμορία Kinsing είναι γνωστή για την ανάπτυξη κακόβουλου λογισμικού εξόρυξης κρυπτονομισμάτων σε παραβιασμένα συστήματα που βασίζονται σε σύννεφο, συμπεριλαμβανομένων των διακομιστών Kubernetes, Docker API, Redis και Jenkins.
Αργότερα, η CISA διέταξε τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να ασφαλίσουν τα συστήματα Linux τους από επιθέσεις CVE-2023-4911, αφού το πρόσθεσαν στον κατάλογό της με ενεργά εκμεταλλευόμενα σφάλματα και το σημείωσαν ως “σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”.
VIA:
bleepingcomputer.com
