Ubuntu Linux afectado por una falla 'needrestart' que otorga permisos root

Iniciado por AXCESS, Noviembre 20, 2024, 11:52:45 PM

Tema anterior - Siguiente tema

0 Miembros y 3 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 20, 2024, 11:52:45 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han descubierto cinco vulnerabilidades de escalada de privilegios locales (LPE) en la utilidad needrestart utilizada por Ubuntu Linux, que se introdujo hace más de 10 años en la versión 21.04.

Las fallas fueron descubiertas por Qualys y se identifican como CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 y CVE-2024-11003. Se introdujeron en la versión 0.8 de needrestart, publicada en abril de 2014, y se solucionaron ayer, en la versión 3.8.

Needrestart es una utilidad que se utiliza habitualmente en Linux, incluido Ubuntu Server, para identificar servicios que requieren un reinicio después de las actualizaciones de paquetes, lo que garantiza que esos servicios ejecuten las versiones más actualizadas de las bibliotecas compartidas.

Resumen de las fallas de LPE

Las cinco fallas que Qualys descubrió permiten a los atacantes con acceso local a un sistema Linux vulnerable escalar sus privilegios a root sin interacción del usuario.

La información completa sobre las fallas se puso a disposición en un archivo de texto separado, pero se puede encontrar un resumen a continuación:

CVE-2024-48990: Needrestart ejecuta el intérprete de Python con una variable de entorno PYTHONPATH extraída de los procesos en ejecución. Si un atacante local controla esta variable, puede ejecutar código arbitrario como root durante la inicialización de Python al plantar una biblioteca compartida maliciosa.

CVE-2024-48992: El intérprete de Ruby utilizado por needrestart es vulnerable al procesar una variable de entorno RUBYLIB controlada por el atacante. Esto permite a los atacantes locales ejecutar código Ruby arbitrario como root al inyectar bibliotecas maliciosas en el proceso.

CVE-2024-48991: Una condición de carrera en needrestart permite a un atacante local reemplazar el binario del intérprete de Python que se está validando con un ejecutable malicioso. Si programan el reemplazo con cuidado, pueden engañar a needrestart para que ejecute su código como root.

CVE-2024-10224: El módulo ScanDeps de Perl, utilizado por needrestart, maneja incorrectamente los nombres de archivo proporcionados por el atacante. Un atacante puede crear nombres de archivo que se parezcan a comandos de shell (por ejemplo, command|) para ejecutar comandos arbitrarios como root cuando se abre el archivo.

CVE-2024-11003: La dependencia de Needrestart del módulo ScanDeps de Perl lo expone a vulnerabilidades en el propio ScanDeps, donde el uso inseguro de las funciones eval() puede provocar la ejecución de código arbitrario al procesar la entrada controlada por el atacante.

Es importante señalar que, para explotar estas fallas, un atacante tendría que tener acceso local al sistema operativo a través de malware o una cuenta comprometida, lo que mitiga un poco el riesgo.

Sin embargo, los atacantes explotaron vulnerabilidades de elevación de privilegios similares en Linux en el pasado para obtener acceso root, incluyendo los Loony Tunables y uno que explotaba un error de nf_tables, por lo que esta nueva falla no debería descartarse solo porque requiere acceso local.

Con el uso generalizado de needrestart y el largo tiempo que ha sido vulnerable, las fallas anteriores podrían crear oportunidades para la elevación de privilegios en sistemas críticos.

Además de actualizar a la versión 3.8 o posterior, que incluye parches para todas las vulnerabilidades identificadas, se recomienda modificar el archivo needrestart.conf para deshabilitar la función de escaneo de intérpretes, que evita que se exploten las vulnerabilidades.


Código: text
# Deshabilitar los escáneres de intérpretes.
$nrconf{interpscan} = 0;

Esto debería evitar que needrestart ejecute intérpretes con variables de entorno potencialmente controladas por el atacante.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario