Nieuw Linux glibc-fout laat aanvallers root worden op grote distro's

Abraham54

Administrator
Forumleiding
Lid geworden
2 aug 2016
Berichten
34.268
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall

Nieuw Linux glibc-fout laat aanvallers root worden op grote distro's​

Door Sergiu Gatlan
Publicatie van BleeepingComputer


Linux.jpg




Ongeprivilegieerde aanvallers kunnen root-toegang krijgen op meerdere grote Linux-distributies in standaardconfiguraties door
misbruik te maken van een nieuw bekendgemaakte lokale privilege-escalatie (LPE) kwetsbaarheid in de GNU C Library (glibc).

Dit beveiligingslek, getraceerd als CVE-2023-6246, werd gevonden in glibc's __vsyslog_internal() functie, aangeroepen door de
veelgebruikte syslog en vsyslog functies voor het schrijven van berichten naar de logger van systeemberichten.

De bug is te wijten aan een heap-gebaseerde buffer overflow zwakte, die per ongeluk werd geïntroduceerd in glibc 2.37 in
augustus 2022 en later werd teruggeplaatst naar glibc 2.36 bij het aanpakken van een minder ernstige kwetsbaarheid getraceerd
als CVE-2022-39046.

"Het buffer overflow probleem vormt een significante bedreiging omdat het lokale privilege escalatie mogelijk kan maken,
waardoor een ongeprivilegieerde gebruiker volledige root-toegang kan krijgen door middel van bewerkte invoer in applicaties
die deze logboekfuncties gebruiken," aldus beveiligingsonderzoekers van Qualys.

"Hoewel de kwetsbaarheid specifieke condities vereist om uitgebuit te worden (zoals een ongewoon lang argv[0] of openlog()
ident argument), is de impact aanzienlijk door het wijdverspreide gebruik van de getroffen bibliotheek."

Invloed op Debian, Ubuntu en Fedora systemen​

Tijdens het testen van hun bevindingen, bevestigde Qualys dat Debian 12 en 13, Ubuntu 23.04 en 23.10, en Fedora 37 tot 39
allemaal kwetsbaar waren voor CVE-2023-6246 exploits, waardoor een ongeprivilegieerde gebruiker privileges kon escaleren
tot volledige root-toegang op standaard installaties.

Hoewel hun tests beperkt waren tot een handvol distro's, voegden de onderzoekers eraan toe dat "andere distributies
waarschijnlijk ook exploiteerbaar zijn".

Tijdens het analyseren van glibc voor andere potentiële beveiligingsproblemen, vonden de onderzoekers ook drie andere
kwetsbaarheden, twee daarvan - moeilijker te misbruiken - in de __vsyslog_internal() functie (CVE-2023-6779 en
CVE-2023-6780) en een derde (een geheugencorruptie probleem dat nog steeds wacht op een
CVEID) in glibc's qsort () functie.

"Deze gebreken benadrukken de kritieke noodzaak voor strikte beveiligingsmaatregelen bij softwareontwikkeling,
vooral voor kernbibliotheken, die op grote schaal worden gebruikt in veel systemen en toepassingen," zegt Saeed Abbasi,
Product Manager bij de Threat Research Unit van Qualys.

Andere Linux root escalation fouten gevonden door Qualys​

In de afgelopen jaren hebben onderzoekers van Qualys verschillende andere Linux beveiligingslekken gevonden,
waarmee aanvallers volledige controle kunnen krijgen over ongepatchte Linux systemen,
zelfs in standaard configuraties.

De ontdekte kwetsbaarheden zijn onder andere een fout in glibc's ld.so dynamische lader (Looney Tunables),
een in Polkit's pkexec component (PwnKit), een andere in de bestandssysteemlaag van de Kernel (Sequoia) en in
het Sudo Unix programma (ook bekend als Baron Samedit).

Dagen nadat het Looney Tunables-fout (CVE-2023-4911) werd onthuld, werden proof-of-concept (PoC) exploits
online gepubliceerd en een maand later begonnen bedreigingsactoren het te gebruiken om de referenties van
cloud service providers (CSP's) te stelen in Kinsing-malwareaanvallen.

De Kinsing-bende staat bekend om het inzetten van malware voor het delven van cryptocurrency op aangetaste
cloudgebaseerde systemen, waaronder Kubernetes, Docker API's, Redis- en Jenkins-servers.

CISA beval later Amerikaanse federale agentschappen, om hun Linux-systemen te beveiligen tegen
CVE-2023-4911 aanvallen nadat deze was toegevoegd aan de catalogus van actief misbruikte bugs en was
aangemerkt als "een aanzienlijk risico voor de federale onderneming".
 
Kijk, daarom draaien wij stabiele OS systemen op de servers.
Centos 7, Almalinux 8 en 9 hebben dit probleem niet. Almalinux zit op glibc 2.34.
Dus ja... nieuwere Debian, Ubuntu, Fedora en vermoedelijk ook Centos Stream 8 en 9 stream zullen daar dan wel last van hebben.
 
Terug
Bovenaan Onderaan