Nueva falla de Linux glibc permite obtener root

Iniciado por AXCESS, Febrero 01, 2024, 12:06:53 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 01, 2024, 12:06:53 AM Ultima modificación: Febrero 01, 2024, 12:10:11 AM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los atacantes sin privilegios pueden obtener acceso root en múltiples distribuciones importantes de Linux, en configuraciones predeterminadas, explotando una vulnerabilidad de escalada de privilegios locales (LPE) recientemente revelada en la biblioteca GNU C (glibc).

Registrado como CVE-2023-6246, este fallo de seguridad se encontró en la función __vsyslog_internal() de glibc, llamada por las funciones ampliamente utilizadas syslog y vsyslog para escribir mensajes en el registrador de mensajes del sistema.

El error se debe a una debilidad de desbordamiento del búfer introducida accidentalmente en glibc 2.37 en agosto de 2022 y luego trasladada a glibc 2.36 al abordar una vulnerabilidad menos grave rastreada como CVE-2022-39046.

"El problema del desbordamiento del búfer representa una amenaza significativa ya que podría permitir una escalada de privilegios locales, permitiendo a un usuario sin privilegios obtener acceso completo root a través de entradas diseñadas para aplicaciones que emplean estas funciones de registro", dijeron los investigadores de seguridad de Qualys.

"Aunque la vulnerabilidad requiere condiciones específicas para ser explotada (como un argumento de identificación argv[0] o openlog() inusualmente largo), su impacto es significativo debido al uso generalizado de la biblioteca afectada".


Afecta a los sistemas Debian, Ubuntu y Fedora

Mientras probaba sus hallazgos, Qualys confirmó que Debian 12 y 13, Ubuntu 23.04 y 23.10 y Fedora 37 a 39 eran vulnerables a los exploits CVE-2023-6246, lo que permitía a cualquier usuario sin privilegios, escalar dichos privilegios a acceso completo root en instalaciones predeterminadas.

Aunque sus pruebas se limitaron a un puñado de distribuciones, los investigadores agregaron que "probablemente otras distribuciones también sean explotables".

Mientras analizaban glibc en busca de otros posibles problemas de seguridad, también encontraron otras tres vulnerabilidades, dos de ellas, más difíciles de explotar, en la función __vsyslog_internal() (CVE-2023-6779 y CVE-2023-6780) y una tercera (un problema de corrupción de memoria todavía esperando un CVEID) en la función qsort () de glibc.

"El reciente descubrimiento de estas vulnerabilidades no es sólo una preocupación técnica sino una cuestión de implicaciones de seguridad generalizadas", afirmó Saeed Abbasi, director de producto de la Unidad de Investigación de Amenazas de Qualys.

"Estas fallas resaltan la necesidad crítica de medidas de seguridad estrictas en el desarrollo de software, especialmente para las bibliotecas centrales ampliamente utilizadas en muchos sistemas y aplicaciones".

Otras fallas de escalada de raíz de Linux encontradas por Qualys

En los últimos años, los investigadores de Qualys han encontrado otras vulnerabilidades de seguridad de Linux que pueden permitir a los atacantes obtener un control total sobre sistemas Linux sin parches, incluso en configuraciones predeterminadas.

Las vulnerabilidades que descubrieron incluyen una falla en el cargador dinámico No tienes permitido ver enlaces. Registrate o Entra a tu cuenta de glibc (Looney Tunables), una en el componente pkexec de Polkit (llamado PwnKit), otra en la capa del sistema de archivos del Kernel (llamada Sequoia) y en el programa Sudo Unix (también conocido como Baron Samedit).

Días después de que se revelara la falla de Looney Tunables (CVE-2023-4911), se publicaron en línea exploits de prueba de concepto (PoC) y los actores de amenazas comenzaron a explotarlo un mes después para robar credenciales del proveedor de servicios en la nube (CSP) con ataques del malware Kinsing.

La pandilla Kinsing es conocida por implementar malware de minería de criptomonedas en sistemas comprometidos basados en la nube, incluidos servidores Kubernetes, Docker API, Redis y Jenkins.

Posteriormente, CISA ordenó a las agencias federales de EE. UU. que protegieran sus sistemas Linux contra los ataques CVE-2023-4911 después de agregarlo a su catálogo de errores explotados activamente y etiquetarlo como "riesgos significativos para las empresas federales".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta




No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario