新的 Linux glibc 漏洞允许攻击者在主要发行版上获得 root 权限

情报员-55100

2024-02-02 09:31:15 热度8.3k+

非特权攻击者可利用GNUC库(glibc)中新披露的本地权限提升(LPE)漏洞,在默认配置中获取多个主要Linux发行版的root访问权限。

此安全漏洞被跟踪为CVE-2023-6246,在glibc的__vsyslog_internal()函数中被发现,该函数由广泛使用的syslog和vsyslog函数调用,用于将消息写入系统消息记录器。

该漏洞是由于2022年8月在glibc2.37中意外引入的基于堆的缓冲区溢出漏洞,后来在解决跟踪为CVE-2022-39046的不太严重的漏洞时向后移植到glibc2.36。

Qualys安全研究人员表示:“缓冲区溢出问题构成了重大威胁,因为它可能允许本地权限升级,使非特权用户能够通过对使用这些日志记录功能的应用程序进行精心设计的输入来获得完全的root访问权限。

“尽管该漏洞需要特定的条件才能被利用(例如异常长的argv[0]或openlog()ident参数),但由于受影响库的广泛使用,其影响是巨大的。”

影响Debian、Ubuntu和Fedora系统

在测试他们的发现时,Qualys确认Debian12和13、Ubuntu23.04和23.10以及Fedora37到39都容易受到CVE-2023-6246漏洞的攻击,允许任何非特权用户在默认安装时将权限升级为完全root访问权限。

尽管他们的测试仅限于少数发行版,但研究人员补充说,“其他发行版也可能是可利用的。

在分析glibc的其他潜在安全问题时,研究人员还发现了另外三个漏洞,其中两个漏洞(较难利用)在__vsyslog_internal()函数(CVE-2023-6779和CVE-2023-6780)中,第三个漏洞(内存损坏问题仍在等待CVEID)在glibc的qsort()函数中。

“最近发现的这些漏洞不仅仅是一个技术问题,而是一个广泛的安全影响问题,”Qualys威胁研究部门的产品经理SaeedAbbasi说。

“这些缺陷凸显了在软件开发中采取严格安全措施的迫切需求,特别是对于在许多系统和应用程序中广泛使用的核心库。

Qualys发现的其他Linux根升级缺陷

在过去的几年里,Qualys的研究人员发现了其他几个Linux安全漏洞,这些漏洞可以让攻击者完全控制未打补丁的Linux系统,即使在默认配置下也是如此。

他们发现的漏洞包括glibc的ld.so动态加载器(LooneyTunables)中的一个漏洞,Polkit的pkexec组件(称为PwnKit)中的一个漏洞,内核文件系统层(称为Sequoia)中的另一个漏洞,以及SudoUnix程序(又名BaronSamedit)中的漏洞。

在LooneyTunables漏洞(CVE-2023-4911)披露几天后,概念验证(PoC)漏洞在网上发布,威胁行为者在一个月后开始利用它来窃取Kinsing恶意软件攻击中的云服务提供商(CSP)凭据。

Kinsing团伙以在受感染的基于云的系统(包括Kubernetes、DockerAPI、Redis和Jenkins服务器)上部署加密货币挖掘恶意软件而闻名。

CISA后来下令美国联邦机构保护其Linux系统免受CVE-2023-4911攻击,此前将其添加到其积极利用的漏洞目录中,并将其标记为“对联邦企业构成重大风险”。

免责声明:以上内容为发帖人个人观点。平台无法验证上述内容的真实、准确和原创性,对此不作任何保证与承诺。
Shadow4,毛毛efff 等2个用户觉得很赞
全部评论(0)
情报员-55100

这个用户很神秘哦,什么都没留下

扫码关注情报星球

手机看情报,把安全装进口袋