Han aparecido en línea exploits de prueba de concepto para una falla de alta gravedad en el cargador dinámico de la biblioteca GNU C, lo que permite a atacantes locales obtener privilegios de root en las principales distribuciones de Linux.
La vulnerabilidad de seguridad apodada ‘Looney Tunables’ y rastreada como CVE-2023-4911 es causada por un desbordamiento de búfer y afecta a las instalaciones predeterminadas de Debian 12 y 13, Ubuntu 22.04 y 23.04, y Fedora 37 y 38.
Los atacantes pueden aprovechar esta vulnerabilidad utilizando una variable de entorno llamada GLIBC_TUNABLES, creada con intenciones maliciosas y procesada por el cargador dinámico ld.so. Esto les permite ejecutar código arbitrario con privilegios de root al iniciar archivos binarios con permisos SUID.
Desde que la Unidad de Investigación de Amenazas de Qualys reveló esta vulnerabilidad, varios investigadores de seguridad han publicado códigos de explotación de prueba de concepto (PoC) que funcionan en algunas configuraciones del sistema.
Uno de estos exploits PoC, confirmado por el experto en vulnerabilidades y exploits Will Dormann, fue publicado recientemente por el investigador de seguridad independiente Peter Geissler (blasty).
Aunque este exploit se puede utilizar en un número limitado de objetivos, el PoC también incluye instrucciones sobre cómo agregar objetivos adicionales identificando compensaciones viables para el cargador dinámico ld.so de cada sistema.
Otros investigadores también están desarrollando y lanzando rápidamente sus propios exploits CVE-2023-4911 en GitHub y otros lugares, aunque BleepingComputer aún no ha confirmado su funcionamiento.
Es importante que los administradores de Alpine Linux, una distribución que no se ve afectada por esta vulnerabilidad, no se preocupen por parchear sus sistemas. Sin embargo, aquellos en otros sistemas afectados deben priorizar la aplicación de parches para garantizar la integridad y seguridad de sus sistemas.
La explotación exitosa de esta vulnerabilidad, que permite obtener privilegios completos de root en distribuciones importantes como Fedora, Ubuntu y Debian, resalta la gravedad y la naturaleza generalizada de este problema, según Saeed Abbasi, gerente de producto de la Unidad de Investigación de Amenazas de Qualys.
Aunque el código de explotación aún no ha sido publicado, la facilidad con la que el desbordamiento del búfer puede convertirse en un ataque de datos implica que otros equipos de investigación podrían producir y lanzar exploits pronto. Esto podría poner en riesgo numerosos sistemas, especialmente considerando el amplio uso de glibc en las distribuciones de Linux.
Los investigadores de Qualys han descubierto y revelado otros errores graves de seguridad en Linux en los últimos años, incluyendo fallas en componentes como pkexec de Polkit (llamado PwnKit), la capa del sistema de archivos del Kernel (llamado Sequoia) y el programa Sudo Unix (también conocido como Baron Samedit).
Los administradores deben tomar medidas rápidas debido a la grave amenaza que representa esta falla de seguridad, la cual otorga acceso completo de root a los sistemas que ejecutan las últimas versiones de las plataformas Linux ampliamente utilizadas, como Fedora, Ubuntu y Debian.
