Patch nu! Exploitaties van de glibc-kwetsbaarheid zijn openbaar beschikbaar
Door een kwetsbaarheid in de Linux-kernbibliotheek glibc kunnen aanvallers met een lokaal account bevoegdheden escaleren naar het ‘root’-beheerdersaccount. Veel IT-beveiligingsonderzoekers hebben nu exploits gepubliceerd die aanvallers kunnen gebruiken om rootrechten te verkrijgen. IT-managers die Linux-systemen gebruiken, moeten snel patchen.
advertentie
Kort na de opkomst van de kwetsbaarheid voor escalatie van privileges met CVE-nummer CVE-2023-4911 in glibc, verschenen de eerste “proof of concept” (PoC) exploits samen met updates voor alle grote distributies. Hoewel deze programma’s aanvankelijk erg traag waren en beperkt waren tot een paar systemen, is een IT-onderzoeker er nu in geslaagd een betrouwbare exploit te schrijven die gebruikers kunnen aanpassen aan hun eigen systemen.
Wortels gemakkelijk gemaakt
De Nederlander Peter Geisler plaatste een Python-script op zijn website dat een root opent op niet-gepatchte systemen. Hoogtepunten van deze exploit: Met kleine aanpassingen kunnen hackers het script aanpassen zodat het ook op hun versie van Linux draait. Tenminste zolang de bugfixes hun weg daar nog niet hebben gevonden.
De kwetsbaarheid in glibc werd afgelopen dinsdag aangekondigd door beveiligingsbedrijf Qualys en werd door alle grote distributies direct gepatcht. Alle versies van glibc sinds 2.34 worden getroffen door het beveiligingslek genaamd “Looney Tunables”. Bijgewerkte versies van grote Linux-distributies hebben versienummers
- 2.35-0ubuntu3.4 voor Ubuntu 22.04,
- 2.37-0ubuntu2.1 voor Ubuntu 23.04,
- 2.31-13+deb11u7 voor Debian 12,
- 2.36-9+deb12u3 ook voor Debian 13
- 2.28-225.el8_8.6 voor respectievelijk RHEL 8
- 2.34-60.el9_2.7 voor RHEL9.
Puristen die zelf glibc samenstellen zijn er momenteel op aangewezen Ontwikkelingsversie 2.39 Het is niet de bedoeling dat dit vóór februari volgend jaar wordt gepubliceerd. Versie 2.38, die op het moment van rapportage beschikbaar was om te downloaden op de glibc-website, is nog steeds kwetsbaar.
Beheerders hebben soms de neiging om exploits van Local Elevation of Privilege (LPE) belachelijk te maken, omdat ze geen directe aanval vanaf een afstand toestaan. In combinatie met een andere kwetsbaarheid, zoals het huidige Confluence-lek, dat code-uitvoering mogelijk maakt, kunnen aanvallers echter LPE gebruiken om de controle over de computer volledig over te nemen. Cybercriminelen zullen waarschijnlijk binnenkort de kwetsbaarheid misbruiken om de controle over Linux-systemen over te nemen en vervolgens ransomware te installeren.
updaten
6 oktober 2023
13:12
uur
Het schone buildnummer voor Debian 11 “Bullseye” is vastgesteld op 2.31-13+deb11u7.
(Kaku)
“Coffee fanatic. Gamer. Award-winning zombie aficionado. College student. Hardcore internet proponent. Twitter guru. Subtly charming bacon nerd. Thinker.”