Poucos dias depois de ter sido amplamente divulgada, já foram lançados exploits para a falha que dá privilégios de root no Linux.
Exploits de prova de conceito já surgiram online para uma falha de alta gravidade no carregador dinâmico da Biblioteca GNU C, permitindo que invasores locais obtenham privilégios de root nas principais distribuições Linux.
Lançados exploits para a falha que dá privilégios de root no Linux
Apelidada de ‘Looney Tunables’ e rastreada como CVE-2023-4911, esta vulnerabilidade de segurança é devido a uma fraqueza de buffer overflow e afeta instalações padrão do Debian 12 e 13, Ubuntu 22.04 e 23.04 e Fedora 37 e 38.
Os invasores podem acioná-lo usando uma variável de ambiente GLIBC_TUNABLES criada com códigos maliciosos e processada pelo carregador dinâmico ld.so para obter execução arbitrária de código com privilégios de root ao iniciar binários com permissão SUID.
Desde que o Qualys’ Threat Research Unit divulgou isso na terça-feira, vários pesquisadores de segurança já publicaram código de exploração de prova de conceito (PoC) que funciona para algumas configurações do sistema.
Uma dessas explorações PoC, confirmada como funcionando pelo especialista em vulnerabilidades e explorações Will Dormann, foi divulgada recentemente pelo pesquisador de segurança independente Peter Geissler (blasty).
Embora sua exploração possa ser usada contra um número limitado de alvos, o PoC também inclui instruções sobre como adicionar outros, identificando o deslocamento viável para o carregador dinâmico ld.so de cada sistema.
Outros pesquisadores também estão desenvolvendo e lançando rapidamente seus próprios exploits CVE-2023-4911 no GitHub e em outros lugares, embora o BleepingComputer ainda não tenha confirmado que estão funcionando.
Os administradores devem agir prontamente devido à ameaça significativa representada por esta falha de segurança, que concede acesso root completo a sistemas que executam as versões mais recentes de plataformas Linux amplamente utilizadas, incluindo Fedora, Ubuntu e Debian.
Embora os administradores do Alpine Linux, uma distribuição não afetada por esta vulnerabilidade, não precisem se preocupar em corrigir seus sistemas, aqueles em outros sistemas afetados devem priorizar a correção para proteger a integridade e a segurança de seus sistemas.
“Nossa exploração bem-sucedida, levando a privilégios de root completos em grandes distribuições como Fedora, Ubuntu e Debian, destaca a gravidade e a natureza generalizada desta vulnerabilidade”, disse Saeed Abbasi, gerente de produto da Unidade de Pesquisa de Ameaças da Qualys, na terça-feira.
“Embora estejamos retendo nosso código de exploração por enquanto, a facilidade com que o buffer overflow pode ser transformado em um ataque somente de dados implica que outras equipes de pesquisa poderão em breve produzir e liberar explorações. uso extensivo de glibc em distribuições Linux.”
Os pesquisadores da Qualys encontraram e divulgaram outros bugs graves de segurança do Linux nos últimos anos, incluindo uma falha no componente pkexec do Polkit (apelidado de PwnKit), uma na camada do sistema de arquivos do Kernel (apelidada de Sequoia) e outra no programa Sudo Unix (também conhecido como Baron Samedit) .