Um bug no kernel do linux descoberto há dois anos e não considerado como grave ameaça na época, teve recentemente seu status alterado para potencial falha de segurança. O bug permiti ao atacante realizar a escalação de privilégios na vítima.
A vulnerabilidade, que recebeu um CVSS3 Base Score de 7.8 em 10, reside na forma como o kernel do Linux carrega os executáveis EL??F, o que potencialmente resulta em corrupção de memória.
Identificado com CVE-2017-1000253, a falha foi descoberta pelo pesquisador do Google, Michael Davidson em Abril de 2015. Uma vez que não reconhecido como grave naquele momento, o patch para a falha no kernel não foi apoiado para distribuições Linux de longo prazo no kernel 3.10.77.
No entanto, pesquisadores da Qualys Research Labs descobriram que essa vulnerabilidade poderia ser explorada para aumentar os privilégios. Ela afeta algumas das principais distribuições do Linux, como por exemplo: Red Hat, Debian, e CentOS.
A vulnerabilidade deixou “todas as versões do CentOS 7 antes da 1708 (lançado em 13 de setembro de 2017), todas as versões do Red Hat Enterprise Linux 7 antes de 7.4 (lançado em 1 de agosto de 2017), e todas as versões do CentOS 6 e Red Hat Enterprise Linux 6 são exploráveis ??”, disse a Qualys em um aviso publicado a três dias.
Os pesquisadores descobriram que um usuário local não privilegiado com acesso ao Código Independente da Posição (PIE) da SUID (ou de outro modo privilegiado), pode usar essa vulnerabilidade para escalar seus privilégios no sistema afetado.
Para mitigar esse problema, os usuários podem mudar para o layout do mmap legacy definindo vm.legacy_va_layout como 1, desativando efetivamente a exploração dessa falha de segurança.
Uma vez que as alocações de mmap começam muito mais baixas no espaço de endereço do processo e seguem o modelo de alocação de baixo para cima, “o mapeamento executável PIE inicial está longe da área de pilha reservada, e não pode interferir na pilha”.
A Qualys diz que esta falha não está limitada às PIEs cujo segmento de leitura e gravação é maior que 128MB, que é a distância mínima entre o mmap_base e o endereço mais alto da pilha, e não o endereço mais baixo da pilha.
Então, ao passar 1.5GB de strings de argumento para execve (), qualquer PIE pode ser mapeado diretamente abaixo da pilha desencadeando a vulnerabilidade.
O Que foi feito para corrigir a falha
As distribuições de Linux, incluindo Red Hat, Debian e CentOS, lançaram atualizações de segurança para solucionar a vulnerabilidade.
A equipe Qualys prometeu publicar uma prova de conceito em breve que explora que funciona nas versões do núcleo do CentOS-7 “3.10.0-514.21.2.el7.x86_64” e “3.10.0-514.26.1.el7.x86_64, “uma vez que um número máximo de usuários teve tempo para corrigir seus sistemas contra a falha.
