Уязвимость в glibc позволяет получить root в большинстве дистрибутивах Linux

Злоумышленники могут получить root-доступ в некоторых дистрибутивах Linux, используя недавно раскрытую локальную уязвимость повышения привилегий (LPE) в GNU C Library (glibc).

Уязвимость отслеживается как CVE-2023-6246, этот недостаток безопасности был найден в функции glibc __vsyslog_internal(), вызываемой широко используемыми функциями syslog и vsyslog для записи сообщений в системный лог.

Ошибка связана с слабостью переполнения буфера, случайно внесенной в glibc 2.37 в августе 2022 года и позже перенесенной в glibc 2.36 при устранении менее серьезной уязвимости, отслеживаемой как CVE-2022-39046.

Проблема переполнения буфера представляет собой значительную угрозу, поскольку она может привести к локальному повышению привилегий, позволяя непривилегированному пользователю получить полный root-доступ через поддельные входные данные для приложений, использующих эти функции регистрации. Хотя для использования уязвимости требуются особые условия (например, необычно длинный аргумент argv[0] или openlog() ident, ее влияние значительно из-за широкого распространения затронутой библиотеки.
- заявили исследователи безопасности Qualys

Влияние на системы Debian, Ubuntu и Fedora

В ходе проверки своих выводов Qualys подтвердила, что Debian 12 и 13, Ubuntu 23.04 и 23.10 и Fedora 37-39 были уязвимы к эксплойтам CVE-2023-6246, позволяющим любому непривилегированному пользователю повысить привилегии до полного root-доступа на стандартных установках.

Несмотря на то, что их тесты были ограничены несколькими дистрибутивами, исследователи добавили, что «другие дистрибутивы, вероятно, также подвержены эксплойтам».

В ходе анализа glibc на предмет других потенциальных проблем безопасности исследователи также обнаружили еще три уязвимости, две из которых – более сложные для эксплуатации – находятся в функции vsyslog_internal() (CVE-2023-6779 и CVE-2023-6780), а третья (проблема повреждения памяти все еще ожидает CVEID) – в функции qsort () glibc.

«Эти недостатки подчеркивают острую необходимость принятия строгих мер безопасности при разработке программного обеспечения, особенно для основных библиотек, широко используемых во многих системах и приложениях»
- сказал Саид Аббаси (Saeed Abbasi), менеджер по продуктам отдела исследования угроз компании Qualys

Другие уязвимости Linux, найденные Qualys

За последние несколько лет исследователи Qualys обнаружили еще несколько уязвимостей в системе безопасности Linux, которые могут позволить злоумышленникам получить полный контроль над непропатченными системами Linux даже в конфигурациях по умолчанию.

Среди обнаруженных ими уязвимостей – дефект в динамическом загрузчике glibc ld.so динамического загрузчика (Looney Tunables), одна в компоненте pkexec пакета Polkit (получившая название PwnKit), другая в уровне файловой системы ядра (получившая название Sequoia) и в программе Sudo Unix (она же Baron Samedit).

Через несколько дней после раскрытия дефекта Looney Tunables (CVE-2023-4911) в Интернете были опубликованы эксплойты для доказательства концепции (PoC), а через месяц хакеры начали использовать его для кражи учетных данных поставщиков облачных услуг (CSP) в атаках вредоносного ПО Kinsing

Хакеры Kinsing известны тем, что устанавливали вредоносные программы для добычи криптовалюты на взломанные облачные системы, включая Kubernetes Docker API, Redis и серверы Jenkins.

CISA позже приказала федеральным агентствам США защитить свои Linux-системы от атак CVE-2023-4911, добавив ее в каталог активно эксплуатируемых ошибок и отметив, что она представляет «значительный риск для федерального предприятия».

Подробнее