Los atacantes podrían obtener privilegios de root en sistemas
Linux, explotando una falla de desbordamiento de búfer recientemente
descubierta y fácil de explotar en una biblioteca común utilizada en la
mayoría de las principales distribuciones del sistema operativo de código
abierto.
Apodado «Looney Tunables» y todavía en estudio, el error podría
significar podría tener ramificaciones aún peores porque permite escalamiento
de privilegios en el sistema y ya hay exploits públicos.
Según los investigadores de Qualys en una publicación de blog, el error se encuentra en la biblioteca GNU C (glibc) en el Sistema
GNU, que se encuentra en la mayoría de los sistemas que ejecutan el kernel
Linux. Fedora, Ubuntu y Debian son los sistemas con mayor riesgo de sufrir el
error, identificado como CVE-2023-4911 (CVSS 7.8). Explotar la falla, lo cual
no es difícil de hacer, genera riesgos considerables para los sistemas Linux
vulnerables, como acceso no autorizado a datos, alteraciones del sistema y
posible robo de datos.
Glibc es una biblioteca que define las llamadas al sistema y otras
funcionalidades básicas, como open, malloc, printf, exit, etc., que
requiere un programa típico. La vulnerabilidad ocurre en la forma en que el
cargador dinámico de glibc procesa la variable de entorno
GLIBC_TUNABLES (que dá nombre a la vulnerabilidad).
Además, Los dispositivos IoT que se ejecutan en un entorno Linux son
extremadamente vulnerables a esta falla,
«debido a su uso extensivo del kernel de Linux dentro de sistemas
operativos personalizados», advierte John Gallagher, vicepresidente de Viakoo Labs en Viakoo. Eso
significa que los entornos integrados, como las fábricas inteligentes, los
equipos conectados como drones y robots, y una variedad de equipos de consumo
corren un riesgo particular.
Los investigadores han explotado con éxito la falla, introducida en el código
en abril de 2021, para obtener privilegios de root completos en
instalaciones predeterminadas de Fedora 37 y 38, Ubuntu 22.04 y 23.04 y Debian
12 y 13. Sin embargo, es probable que otras distribuciones sean igualmente
susceptibles, con la excepción de Alpine Linux
«debido a su uso de musl libc en lugar de glibc».
Los investigadores revelaron la falla a Red Hat el 4 de septiembre, y
se envió un aviso
y un parche al proyecto de seguridad de código abierto OpenWall el 19 de
septiembre. El parche se lanzó posteriormente el 3 de octubre, con varias
distribuciones de Linux, incluida
Red Hat,
Ubuntu,
Upstream,
Debian
y
Gentoo
lanzaron sus propias actualizaciones.
Por qué el error de seguridad glibc es tan peligroso
Para comprender la falla, es importante conocer la importancia del cargador
dinámico de glibc, la parte de la biblioteca responsable de preparar y
ejecutar programas, tareas que incluyen determinar y asignar bibliotecas
compartidas, así como vincularlas con el ejecutable en tiempo de ejecución. En
el proceso, el cargador dinámico también resuelve referencias de funciones y
variables, asegurando que todo esté configurado para la ejecución del
programa.
«Dada su función, el cargador dinámico es altamente sensible a la
seguridad, ya que su código se ejecuta con privilegios elevados cuando un
usuario local inicia un programa set-user-ID o set-group-ID», explica Qualys en la publicación. Es por eso que si este componente de la
biblioteca se ve comprometido, un atacante también tiene el beneficio de esos
privilegios en un sistema.
La variable de entorno GLIBC_TUNABLES permite a los usuarios modificar
el comportamiento de la biblioteca en tiempo de ejecución, eliminando la
necesidad de volver a compilar la aplicación o la biblioteca. Al configurar
GLIBC_TUNABLES, los usuarios pueden ajustar varios parámetros de
rendimiento y comportamiento, que luego se aplican al iniciar la aplicación.
Tener una falla de desbordamiento del búfer en la forma en que el cargador
dinámico maneja la variable de entorno GLIBC_TUNABLES plantea
ramificaciones significativas en términos de rendimiento, confiabilidad y
seguridad del sistema, afirma Abbasi.
Parchear ahora y siempre
Estas posibles ramificaciones amplifican la urgencia de aplicar un parche
inmediato, a pesar de que los investigadores optaron por no publicar su
exploit. Sin embargo, publicaron un desglose técnico de la
vulnerabilidad.
«Incluso en ausencia de una explotación evidente en la naturaleza,
comprender a fondo la vulnerabilidad y preparar defensas de manera
preventiva se vuelve primordial, particularmente teniendo en cuenta los
grandes riesgos que entran en juego una vez que se explota», dice Abbasi.
De hecho, dada la facilidad con la que el desbordamiento del buffer puede
transformarse en un ataque solo de datos, ya hay exploits públicos para Looney Tunables. Esto significa que
«las organizaciones deben actuar con la máxima diligencia para proteger sus
sistemas y datos de un posible compromiso a través de esta vulnerabilidad en
glibc», aconsejó.
Fuente:
Dark Reading
Los comentarios están cerrados.