Bl0ckch41nnewsVulnerabilidades importantes en el syslog() de la biblioteca GNU C en muchas distros
Se publicó una vulnerabilidad de escalamiento de privilegios locales (LPE) en
la biblioteca GNU C (glibc), la cual permite que atacantes sin
privilegios pueden obtener acceso root en múltiples distribuciones
importantes de Linux.
Registrada como
CVE-2023-6246, este fallo se encuentra en la función __vsyslog_internal() de
glibc, llamada por las funciones ampliamente utilizadas en syslog y
vsyslog para escribir mensajes de logs.
El error se debe a una debilidad de desbordamiento del búfer introducida
accidentalmente en glibc 2.37 en agosto de 2022 y luego trasladada a
glibc 2.36 al abordar una vulnerabilidad menos grave rastreada como
CVE-2022-39046.
«Aunque la vulnerabilidad requiere condiciones específicas para ser
explotada (como un argumento de identificación argv[0] o openlog()
inusualmente largo), su impacto es significativo debido al uso generalizado
de la biblioteca afectada»,
dijeron los investigadores de seguridad de Qualys.
Afecta a los sistemas Debian, Ubuntu y Fedora
Mientras probaba sus hallazgos, Qualys confirmó que Debian 12 y 13, Ubuntu 23.04 y 23.10 y Fedora 37 a 39 eran vulnerables a los
exploits CVE-2023-6246, lo que permitía a cualquier usuario sin
privilegios escalar privilegios a acceso completo de root en
instalaciones predeterminadas. Los productos de Red Hat no se ven afectados por esta vulnerabilidad porque este problema se introdujo en glibc 2.36 y ningún producto de Red Hat utiliza esa versión.
Aunque sus pruebas se limitaron a un puñado de distribuciones, los
investigadores agregaron que
«probablemente otras distribuciones también sean explotables».
Mientras analizaban glibc en busca de otros posibles problemas de
seguridad, los investigadores también encontraron otras tres vulnerabilidades:
dos de ellas, más difíciles de explotar, en la función
__vsyslog_internal() (CVE-2023-6779 y CVE-2023-6780) y; una tercera, un
problema de corrupción de memoria todavía esperando un CVEID en la función
qsort () de glibc.
«Estas fallas resaltan la necesidad crítica de medidas de seguridad
estrictas en el desarrollo de software, especialmente para las bibliotecas
centrales ampliamente utilizadas en muchos sistemas y aplicaciones».
Otras fallas de escalamiento encontradas por Qualys
En los últimos años, los investigadores de Qualys han encontrado otras
vulnerabilidades de seguridad de Linux que pueden permitir a los atacantes
obtener un control total sobre sistemas Linux sin parches, incluso en
configuraciones predeterminadas.
Las vulnerabilidades que descubrieron incluyen una falla en el cargador
dinámico ld.so de glibc (Looney Tunables), una en el componente pkexec de Polkit (llamado
PwnKit), otra en la capa del sistema de archivos del Kernel (llamada
Sequoia) y en el programa Sudo Unix (también conocido como
Baron Samedit).
Días después de que se revelara la falla de Looney Tunables (CVE-2023-4911), se publicaron
exploits
de prueba de concepto (PoC) y los actores de amenazas
comenzaron a explotarlo
un mes después para robar credenciales de proveedor de servicios en la nube
(CSP) con el malware Kinsing.
La pandilla Kinsing es conocida por implementar malware de minería de
criptomonedas en sistemas comprometidos basados en la nube, incluidos
servidores Kubernetes, Docker API, Redis y Jenkins.
Posteriormente,
CISA ordenó
a las agencias federales de EE.UU. que protegieran sus sistemas Linux contra
los ataques CVE-2023-4911 después de agregarlo a su catálogo de errores
explotados activamente y etiquetarlo como que plantea «riesgos
significativos».
Fuente:
BC
Los comentarios están cerrados.