Rastreada como CVE-2023-6246, uma nova falha na glibc permite obter root nas principais distros. Confira os detalhes dessa ameaça.
Atacantes sem privilégios podem obter acesso root em várias distribuições Linux importantes em configurações padrão, explorando uma vulnerabilidade de escalonamento de privilégios locais (LPE) recentemente divulgada na Biblioteca GNU C (glibc).
Nova falha na glibc permite obter root nas principais distros
Rastreada como CVE-2023-6246, essa falha de segurança foi encontrada na função __vsyslog_internal() da glibc, chamada pelas funções syslog e vsyslog amplamente utilizadas para gravar mensagens no registrador de mensagens do sistema.
O bug é devido a uma fraqueza de buffer overflow baseada em heap introduzida acidentalmente na glibc 2.37 em agosto de 2022 e posteriormente transferida para a glibc 2.36 ao abordar uma vulnerabilidade menos grave rastreada como CVE-2022-39046.
“O problema de buffer overflow representa uma ameaça significativa, pois pode permitir o escalonamento de privilégios locais, permitindo que um usuário sem privilégios obtenha acesso root completo por meio de entradas criadas para aplicativos que empregam essas funções de registro”, disseram os pesquisadores de segurança da Qualys.
“Embora a vulnerabilidade exija condições específicas para ser explorada (como um argumento de identificação argv[0] ou openlog() excepcionalmente longo), seu impacto é significativo devido ao uso generalizado da biblioteca afetada.”
Ao testar suas descobertas, a Qualys confirmou que Debian 12 e 13, Ubuntu 23.04 e 23.10 e Fedora 37 a 39 eram todos vulneráveis a explorações CVE-2023-6246, permitindo que qualquer usuário sem privilégios escalasse privilégios para acesso root completo em instalações padrão.
Embora seus testes tenham sido limitados a algumas distros, os pesquisadores acrescentaram que “outras distribuições provavelmente também podem ser exploradas”.
Ao analisar a glibc em busca de outros possíveis problemas de segurança, os pesquisadores também encontraram três outras vulnerabilidades, duas delas – mais difíceis de explorar – na função __vsyslog_internal() (CVE-2023-6779 e CVE-2023-6780) e uma terceira (um problema de corrupção de memória ainda aguardando um CVEID) na função qsort () da glibc.
“Essas falhas destacam a necessidade crítica de medidas de segurança rigorosas no desenvolvimento de software, especialmente para bibliotecas centrais amplamente utilizadas em muitos sistemas e aplicações”, disse Saeed Abbasi, gerente de produto da Unidade de Pesquisa de Ameaças da Qualys.
Outras falhas de escalonamento de root do Linux encontradas pela Qualys
Nos últimos anos, pesquisadores da Qualys encontraram várias outras vulnerabilidades de segurança do Linux que podem permitir que invasores obtenham controle total sobre sistemas Linux não corrigidos, mesmo em configurações padrão.
As vulnerabilidades que eles descobriram incluem uma falha no carregador dinâmico ld.so da glibc (Looney Tunables), uma no componente pkexec do Polkit (apelidado de PwnKit), outra na camada do sistema de arquivos do Kernel (apelidada de Sequoia) e no programa Sudo Unix (também conhecido como Baron Samedit).
Dias após a divulgação da falha Looney Tunables (CVE-2023-4911), explorações de prova de conceito (PoC) foram publicadas on-line e os agentes da ameaça começaram a explorá-la um mês depois para roubar credenciais de provedor de serviços de nuvem (CSP) no malware Kinsing ataques.
A gangue Kinsing é conhecida por implantar malware de mineração de criptomoedas em sistemas comprometidos baseados em nuvem, incluindo Kubernetes, APIs Docker, Redis e servidores Jenkins.
Posteriormente, a CISA ordenou que as agências federais dos EUA protegessem seus sistemas Linux contra ataques CVE-2023-4911 após adicioná-lo ao seu catálogo de bugs explorados ativamente e marcá-lo como apresentando “riscos significativos para a empresa federal”.
