Vulnerabilidades importantes en el syslog() de la biblioteca GNU C en muchas distros

Se publicó una vulnerabilidad de escalamiento de privilegios locales (LPE) en la biblioteca GNU C (glibc), la cual permite que atacantes sin privilegios pueden obtener acceso root en múltiples distribuciones importantes de Linux.

Registrada como CVE-2023-6246, este fallo se encuentra en la función __vsyslog_internal() de glibc, llamada por las funciones ampliamente utilizadas en syslog y vsyslog para escribir mensajes de logs.

El error se debe a una debilidad de desbordamiento del búfer introducida accidentalmente en glibc 2.37 en agosto de 2022 y luego trasladada a glibc 2.36 al abordar una vulnerabilidad menos grave rastreada como CVE-2022-39046.

"Aunque la vulnerabilidad requiere condiciones específicas para ser explotada (como un argumento de identificación argv[0] o openlog() inusualmente largo), su impacto es significativo debido al uso generalizado de la biblioteca afectada", dijeron los investigadores de seguridad de Qualys.

Afecta a los sistemas Debian, Ubuntu y Fedora

Mientras probaba sus hallazgos, Qualys confirmó que Debian 12 y 13, Ubuntu 23.04 y 23.10 y Fedora 37 a 39 eran vulnerables a los exploits CVE-2023-6246, lo que permitía a cualquier usuario sin privilegios escalar privilegios a acceso completo de root en instalaciones predeterminadas. Los productos de Red Hat no se ven afectados por esta vulnerabilidad porque este problema se introdujo en glibc 2.36 y ningún producto de Red Hat utiliza esa versión.

Aunque sus pruebas se limitaron a un puñado de distribuciones, los investigadores agregaron que "probablemente otras distribuciones también sean explotables".

Mientras analizaban glibc en busca de otros posibles problemas de seguridad, los investigadores también encontraron otras tres vulnerabilidades: dos de ellas, más difíciles de explotar, en la función __vsyslog_internal() (CVE-2023-6779 y CVE-2023-6780) y; una tercera, un problema de corrupción de memoria todavía esperando un CVEID en la función qsort () de glibc.

"Estas fallas resaltan la necesidad crítica de medidas de seguridad estrictas en el desarrollo de software, especialmente para las bibliotecas centrales ampliamente utilizadas en muchos sistemas y aplicaciones".

Otras fallas de escalamiento encontradas por Qualys

En los últimos años, los investigadores de Qualys han encontrado otras vulnerabilidades de seguridad de Linux que pueden permitir a los atacantes obtener un control total sobre sistemas Linux sin parches, incluso en configuraciones predeterminadas.

Las vulnerabilidades que descubrieron incluyen una falla en el cargador dinámico ld.so de glibc (Looney Tunables), una en el componente pkexec de Polkit (llamado PwnKit), otra en la capa del sistema de archivos del Kernel (llamada Sequoia) y en el programa Sudo Unix (también conocido como Baron Samedit).

Días después de que se revelara la falla de Looney Tunables (CVE-2023-4911), se publicaron exploits de prueba de concepto (PoC) y los actores de amenazas comenzaron a explotarlo un mes después para robar credenciales de proveedor de servicios en la nube (CSP) con el malware Kinsing.

La pandilla Kinsing es conocida por implementar malware de minería de criptomonedas en sistemas comprometidos basados en la nube, incluidos servidores Kubernetes, Docker API, Redis y Jenkins.

Posteriormente, CISA ordenó a las agencias federales de EE.UU. que protegieran sus sistemas Linux contra los ataques CVE-2023-4911 después de agregarlo a su catálogo de errores explotados activamente y etiquetarlo como que plantea "riesgos significativos".

Fuente: BC

Suscríbete a nuestro Boletín