Las PoC de un exploit que aprovecha una peligrosa vulnerabilidad de alta severidad en el cargador dinámico de la GNU C Library (GLIBC) han comenzado a emerger en las plataformas online, permitiendo a atacantes locales obtener privilegios de root en importantes distribuciones de Linux.
Bajo el nombre de ‘Looney Tunables’ y registrado como CVE-2023-4911, esta vulnerabilidad de seguridad se origina en un buffer overflow y afecta a las configuraciones predeterminadas de Debian 12 y 13, Ubuntu 22.04 y 23.04, así como Fedora 37 y 38.
Los atacantes pueden aprovechar esta debilidad mediante el uso de una variable de entorno maliciosamente diseñada llamada GLIBC_TUNABLES, que es procesada por el cargador dinámico ld.so. Esto les permite obtener ejecución de código arbitrario con privilegios de root al ejecutar binarios con permisos SUID.
Desde que el Equipo de Investigación de Amenazas de Qualys reveló esta vulnerabilidad el pasado martes, varios investigadores de seguridad ya han publicado códigos de Prueba de Concepto (PoC) de exploits que funcionan en algunas configuraciones del sistema.
Uno de estos PoC, confirmado por el experto en vulnerabilidades y exploits Will Dormann, fue lanzado recientemente por el investigador de seguridad independiente Peter Geissler, conocido como ‘blasty’.
Aunque este exploit puede utilizarse contra un número limitado de objetivos, el PoC también proporciona instrucciones sobre cómo identificar otras posibles víctimas al encontrar la posición de trabajo adecuada para el cargador dinámico ld.so en cada sistema.
Otros investigadores también están desarrollando y liberando rápidamente sus propios exploits para la CVE-2023-4911 en plataformas como GitHub y otros sitios web de seguridad. Sin embargo, hasta el momento, no se ha podido confirmar la efectividad de estos exploits adicionales.
Los administradores de sistemas deben tomar medidas inmediatas debido a la amenaza significativa que representa esta vulnerabilidad, ya que concede acceso de root completo a sistemas que ejecutan las versiones más recientes de las populares plataformas Linux, incluyendo Fedora, Ubuntu y Debian.
Es importante destacar que los administradores de Alpine Linux, una distribución que no se ve afectada por esta vulnerabilidad, no necesitan preocuparse por aplicar parches a sus sistemas. Sin embargo, aquellos que utilizan otras distribuciones afectadas deben dar prioridad a la aplicación de parches para proteger la integridad y seguridad de sus sistemas.
“Nuestra explotación exitosa, que otorga privilegios de root completos en distribuciones importantes como Fedora, Ubuntu y Debian, resalta la gravedad y la amplia distribución de esta vulnerabilidad. Aunque estamos reteniendo nuestro código de explotación por ahora, la facilidad con la que se puede transformar el buffer overflow en un ataque de solo datos implica que otros equipos de investigación podrían pronto producir y liberar exploits”.
Saeed Abbasi, Gerente de Producto del Equipo de Investigación de Amenazas de Qualys
Los investigadores de Qualys han encontrado y divulgado otros graves errores de seguridad en Linux en los últimos años, incluyendo una vulnerabilidad en el componente pkexec de Polkit (apodada PwnKit), una en la capa del sistema de archivos del Kernel (apodada Sequoia), y otra en el programa Unix Sudo (también conocida como Baron Samedit).
Para los clientes que no pueden actualizar inmediatamente y no tienen habilitada la función de arranque seguro, el problema se puede mitigar utilizando el script SystemTap proporcionado con los siguientes pasos. Cuando está habilitado, cualquier programa setuid invocado con GLIBC_TUNABLES en el entorno finalizará inmediatamente. Para invocar el programa setuid, los usuarios deberán desarmar o borrar el envvar GLIBC_TUNABLES, por ejemplo, `GLIBC_TUNABLES= sudo`.
Mas información:
- https://access.redhat.com/security/cve/cve-2023-4911
- https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-local-privilege-escalation-in-the-glibcs-ld-so#potential-impact-of-looney-tunables
- https://haxx.in/files/gnu-acme.py
Fuente: unaaldia.hispasec.com