Agentes mal-intencionados, sem privilégios, podem obter acesso root em várias distribuições Linux importantes em configurações padrão. Isso graças a uma nova falha na glibc. Essa falha na glibc do Linux permite o escalonamento de privilégios locais (LPE).
Falha na glibc do Linux
Rastreada como CVE-2023-6246, essa falha de segurança foi encontrada na função _vsyslog_internal() da glibc, chamada pelas funções syslog e vsyslog amplamente utilizadas para gravar mensagens no registrador de mensagens do sistema.
A falha é devido a uma fraqueza de buffer overflow baseada em heap introduzida acidentalmente na glibc 2.37 em agosto de 2022 e posteriormente transferida para a glibc 2.36 ao abordar uma vulnerabilidade menos grave rastreada como CVE-2022-39046.
O problema de buffer overflow representa uma ameaça significativa, pois pode permitir o escalonamento de privilégios locais, permitindo que um usuário sem privilégios obtenha acesso root completo por meio de entradas criadas para aplicativos que empregam essas funções de registro.
Embora a vulnerabilidade exija condições específicas para ser explorada (como um argumento de identificação argv[0] ou openlog() excepcionalmente longo), seu impacto é significativo devido ao uso generalizado da biblioteca afetada.
Pesquisadores de segurança da Qualys.
A falha mpacta os sistemas Debian, Ubuntu e Fedora
Ao testar suas descobertas, a Qualys confirmou que Debian 12 e 13, Ubuntu 23.04 e 23.10 e Fedora 37 a 39 eram todos vulneráveis ??a explorações CVE-2023-6246, permitindo que qualquer usuário sem privilégios escalasse privilégios para acesso root completo em instalações padrão.
Embora seus testes tenham sido limitados a algumas distros, os pesquisadores acrescentaram que “outras distribuições provavelmente também podem ser exploradas”. Ao analisar a glibc em busca de outros possíveis problemas de segurança, os pesquisadores também encontraram três outras vulnerabilidades, duas delas – mais difíceis de explorar – na função __vsyslog_internal() (CVE-2023-6779 e CVE-2023-6780) e uma terceira (uma problema de corrupção de memória ainda aguardando um CVEID) na função qsort () da glibc.
Outras falhas de escalonamento de root do Linux encontradas pela Qualys
Nos últimos anos, pesquisadores da Qualys encontraram várias outras vulnerabilidades de segurança do Linux que podem permitir que invasores obtenham controle total sobre sistemas Linux não corrigidos, mesmo em configurações padrão. As vulnerabilidades que eles descobriram incluem uma falha no carregador dinâmico ld.so da glibc (Looney Tunables), uma no componente pkexec do Polkit (apelidado de PwnKit), outra na camada do sistema de arquivos do Kernel (apelidada de Sequoia) e no programa Sudo Unix (também conhecido como Baron Samedit).
Dias após a divulgação da falha Looney Tunables (CVE-2023-4911), explorações de prova de conceito (PoC) foram publicadas online e os agentes da ameaça começaram a explorá-la um mês depois para roubar credenciais de provedor de serviços de nuvem (CSP) no malware Kinsing ataques.
A gangue Kinsing é conhecida por implantar malware de mineração de criptomoedas em sistemas comprometidos baseados em nuvem, incluindo Kubernetes, APIs Docker, Redis e servidores Jenkins. Posteriormente, a CISA ordenou que as agências federais dos EUA protegessem seus sistemas Linux contra ataques CVE-2023-4911 após adicioná-lo ao seu catálogo de bugs explorados ativamente e marcá-lo como apresentando “riscos significativos para a empresa federal”.