Поделиться
Критическая «дыра» в фундаментальной библиотеке позволяет взломать Ubuntu, Fedora и Debian и другие дистрибутивы Linux
Программная ошибка в библиотеке glibc позволяет повысить привилегии в системе до уровня root. Проблема затрагивает как минимум Ubuntu, Fedora и Debian. Скорее всего, другие дистрибутивы также уязвимы.
Основа основ
Сразу несколько крупнейших и широко используемых дистрибутивов Linux оказались затронутыми критической уязвимостью, открывающую возможность для повышения привилегий до уровня root.
Уязвимость непосредственно выявлена в GNU C Library (glibc), фундаментальном компоненте крупнейших дистрибутивов Linux.
Как выяснили эксперты компании Qualys, в функции __vsyslog_internal(), к которой обращаются две другие широкоиспользуемые функции - syslog и vsyslog.
Ошибка в коде допускает переполнение буфера кучи (термин программирования). Появившаяся в glibc 2.37 в августе 2022 г., она потом попала и в версию 2.36 в результате попытки устранить менее серьезный «баг» CVE-2022-39046.
Эксперты Qualys указали, что для эксплуатации этой уязвимости потребуется соблюдения ряда условий, таких как «необычайно длинные» аргументы argv[o] или opnlog(), однако проблема усугубляется распространенностью уязвимой библиотеки.
На данный момент подтверждено, что уязвимость затрагивает Debian 12 и 13, Ubuntu 23.04 и 23.10 и Fedora 37-39. Как показали эксперименты с эксплойтом, любой неавторизованный пользователь может добиться административных (root) привилегий.
Эксперты Qualys полагают, что другие дистрибутивы также уязвимы.
И ещё три
Анализируя glibc, исследователи компании выявили еще три уязвимости. Две из них - CVE-2023-6779 и CVE-2023-6780 - также затрагивают __vsyslog_internal(), но их куда сложнее эксплуатировать, чем вышеописанную.
Третья, вызывающая сбой целостности памяти, еще не получившая индекса CVE, - затрагивает функцию qsort.
Как заявил Саид Аббаси (Saeed Abbasi), менеджер по продуктам Qualys Threat Research, эти уязвимости высвечивают проблему с отсутствием строгих мер безопасности в разработке программного обеспечения (ПО). А они необходимы, особенно в библиотеках ядра, которые широко используются во множестве систем и приложений.
«Сложился некоторый консенсус, что использование или неиспользование принципов безопасной разработки - личное дело каждого программиста или коммерческой структуры», - считает директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, в лицензионных соглашениях часто говорится о том, что продукт, особенно опенсорсный, предоставляется в пользование как есть, с минимальными гарантиями или вообще без них.
«В результате критическая ошибка в каком-нибудь малозаметном, но общераспространенном компоненте затрагивает колоссальное количество систем по принципу домино, иногда с масштабными последствиями, но фундаментально ничего не меняется десятилетиями», - подытожила Анастасия Мельникова.
За последние годы эксперты Qualys обнаруживали в различных дистрибутивах Linux множество разных уязвимостей, в том числе таких, которые позволяли осуществлять захват контроля над системой.
Одна из них, затрагивавшая динамический загрузчик glibc ld.so, спустя месяц после появления экспериментального эксплойта была активно задействована хакерами группировки Kinsing, которая специализируется на установке криминальных криптомайнеров в облачные ресурсы.
В итоге Агентство по защите инфраструктуры и кибербезопасности США предписало госорганам обратить особо пристальное внимание на эту уязвимость (CVE-2023-4911, Looney Tunables) и в кратчайшие сроки ее устранить, поскольку она составляла «серьезный риск для федеральных учреждений».
Короткая ссылка
