Злоумышленники могут получить root-доступ в некоторых дистрибутивах Linux, используя недавно раскрытую локальную уязвимость повышения привилегий (LPE) в GNU C Library (glibc).
Уязвимость отслеживается как CVE-2023-6246, этот недостаток безопасности был найден в функции glibc __vsyslog_internal(), вызываемой широко используемыми функциями syslog и vsyslog для записи сообщений в системный лог.
Ошибка связана с слабостью переполнения буфера, случайно внесенной в glibc 2.37 в августе 2022 года и позже перенесенной в glibc 2.36 при устранении менее серьезной уязвимости, отслеживаемой как CVE-2022-39046.
Проблема переполнения буфера представляет собой значительную угрозу, поскольку она может привести к локальному повышению привилегий, позволяя непривилегированному пользователю получить полный root-доступ через поддельные входные данные для приложений, использующих эти функции регистрации. Хотя для использования уязвимости требуются особые условия (например, необычно длинный аргумент
argv[0]
илиopenlog() ident
, ее влияние значительно из-за широкого распространения затронутой библиотеки.
- заявили исследователи безопасности Qualys
Влияние на системы Debian, Ubuntu и Fedora
В ходе проверки своих выводов Qualys подтвердила, что Debian 12 и 13, Ubuntu 23.04 и 23.10 и Fedora 37-39 были уязвимы к эксплойтам CVE-2023-6246, позволяющим любому непривилегированному пользователю повысить привилегии до полного root-доступа на стандартных установках.
Несмотря на то, что их тесты были ограничены несколькими дистрибутивами, исследователи добавили, что «другие дистрибутивы, вероятно, также подвержены эксплойтам».
В ходе анализа glibc на предмет других потенциальных проблем безопасности исследователи также обнаружили еще три уязвимости, две из которых – более сложные для эксплуатации – находятся в функции vsyslog_internal() (CVE-2023-6779 и CVE-2023-6780), а третья (проблема повреждения памяти все еще ожидает CVEID) – в функции qsort () glibc.
«Эти недостатки подчеркивают острую необходимость принятия строгих мер безопасности при разработке программного обеспечения, особенно для основных библиотек, широко используемых во многих системах и приложениях»
- сказал Саид Аббаси (Saeed Abbasi), менеджер по продуктам отдела исследования угроз компании Qualys
Другие уязвимости Linux, найденные Qualys
За последние несколько лет исследователи Qualys обнаружили еще несколько уязвимостей в системе безопасности Linux, которые могут позволить злоумышленникам получить полный контроль над непропатченными системами Linux даже в конфигурациях по умолчанию.
Среди обнаруженных ими уязвимостей – дефект в динамическом загрузчике glibc ld.so динамического загрузчика (Looney Tunables), одна в компоненте pkexec пакета Polkit (получившая название PwnKit), другая в уровне файловой системы ядра (получившая название Sequoia) и в программе Sudo Unix (она же Baron Samedit).
Через несколько дней после раскрытия дефекта Looney Tunables (CVE-2023-4911) в Интернете были опубликованы эксплойты для доказательства концепции (PoC), а через месяц хакеры начали использовать его для кражи учетных данных поставщиков облачных услуг (CSP) в атаках вредоносного ПО Kinsing
Хакеры Kinsing известны тем, что устанавливали вредоносные программы для добычи криптовалюты на взломанные облачные системы, включая Kubernetes Docker API, Redis и серверы Jenkins.
CISA позже приказала федеральным агентствам США защитить свои Linux-системы от атак CVE-2023-4911, добавив ее в каталог активно эксплуатируемых ошибок и отметив, что она представляет «значительный риск для федерального предприятия».
Комментарии (0)