A Looney Tunables nem érdektelen kockázat. Ez a Linux-sérülékenység jelentős kockázatot jelent számos Linux-disztribúció számára.

Kedden a Qualys Threat Research Unit (TRU) feltárt egy potenciálisan káros fenyegetést a GNU C Library dinamikus betöltőjében futó Linux rendszerekre. Ez a kódkönyvtár, közismert nevén glibc, a legtöbb Linux rendszerben elterjedt – figyelmeztetett Saeed Abbasi, a Qualys sebezhetőségi és fenyegetések kutatási részlegének vezetője a vállalat közösségi biztonsági blogjában .

A GNU C Library dinamikus betöltője a glibc kulcsfontosságú összetevője, amely a programok előkészítéséért és futtatásáért felelős. Abbasi szerint a betöltő rendkívül érzékeny a biztonságra, mivel a kódja emelt jogosultságokkal fut, amikor egy helyi felhasználó elindít egy set-user-ID vagy set-group-ID programot.

„A GNU C Library (glibc) Looney Tunables sebezhetősége (CVE-2023-4911) jelentős fenyegetést jelent, mivel mindenütt jelen van Linux környezetben, és potenciálisan több millió rendszert érint, különösen azokat, amelyek sebezhető glibc verziókat futtatnak Fedora, Ubuntu és Debian rendszeren". - jelezte.

A Qualys TRU azt tanácsolja a biztonsági csapatoknak, hogy prioritásként kezeljék a probléma azonnali javítását, sürgette Abbasi.

Mi a tét

A Looney Tunables egyik legfontosabb problémája a puffer túlcsordulása, amelyet a dinamikus betöltő GLIBC_TUNABLES környezeti változó kezelésében vált ki. Teljes root jogosultságokhoz vezet a főbb Linux disztribúciókon. Saját megjegyzés: nyilván nem csak a főbb Linux disztribúciókon, hanem az összes olyanon, ami ezt használja.

A kódírók bevezették a glibc-t, hogy a felhasználók futás közben módosíthassák a könyvtár viselkedését. A cél az volt, hogy ne kelljen újrafordítani akár az alkalmazást, akár a könyvtárat telepítés céljából.

Abbasi kifejtette, hogy a sikeres kihasználás lehetővé teheti a támadók számára, hogy root jogosultságokat szerezzenek, lehetővé téve az adatok jogosulatlan hozzáférését, módosítását vagy törlését, és potenciálisan további támadásokat is kiaknázhat a jogosultságok fokozásával. Ez a puffertúlcsordulás könnyen kihasználható, és az önkényes kódfuttatás valós és kézzelfogható fenyegetést jelent.

„Ezért a kapcsolódó kihívások ellenére az elszánt támadók, akik meghatározott entitásokat céloznak meg, életképes vállalkozásnak találhatják a sérülékenység kihasználását” – tette hozzá Abbasi.

A biztonsági fenyegetés ezzel még nem ér véget. Az adatlopások és a jogosulatlan módosítások, valamint az azt követő támadások lehetősége reális. Az is előfordulhat, hogy a rossz szereplők ezt a biztonsági rést automatizált eszközökbe, férgekbe vagy más rosszindulatú szoftverekbe integrálják.

Fokozódó gondok

Labs alelnöke szerint ennek a glibc-sérülékenységnek a legsebezhetőbb eszközei az IoT-eszközök, mivel széles körben használják a Linux kernelt az egyéni operációs rendszereken belül. Minden IoT-eszköz gyártója eltérő ütemezéssel rendelkezik a javítások előállítására, így a javítás hosszadalmas folyamat.

„Ahhoz, hogy ezt hatékonyan kezeljék, a szervezeteknek részletes leltárt kell készíteniük minden eszközükről, IT-ről, IoT-ről és alkalmazásaikró. A szervezeteknek részletes ismeretekkel kell rendelkezniük arról is, hogy milyen alkalmazások kapcsolódnak ezekhez az eszközökhöz, és minden olyan alkalmazás-eszköz függőséget, amely hatással lehet. javítással."

A Glibc számos Linux disztribúcióban betöltött alapvető szerepe jelentősen felerősíti az azonnali javítás sürgősségét – ajánlotta Abbasi. Még akkor is, ha a természetben nem történik nyilvánvaló kihasználása a hibának, az IT-biztonsági csapatoknak megelőzően védekezést kell felkészíteniük a támadás utáni nagy tét ellen.

„Tekintettel a rendelkezésre álló kiaknázási útvonal részletességére, a szervezeteknek a legnagyobb gondossággal kell eljárniuk, hogy megvédjék rendszereiket és adataikat a glibc sérülékenysége miatti esetleges kompromittálódástól” – hangsúlyozta.