„Looney Tunables“-Linux-Fehler führt zu zunehmenden Proof-of-Concept-Exploits

Proof-of-Concept (PoC)-Exploits für die Sicherheitslücke CVE-2023-4911, genannt Looney Tunables, wurden bereits entwickelt, nachdem letzte Woche die kritische Pufferüberlauf-Schwachstelle in der weit verbreiteten GNU C-Bibliothek (glibc) bekannt wurde, die in verschiedenen Linux-Distributionen vorhanden ist.

Unabhängiger Sicherheitsforscher Peter Geissler; Will Dormann, Software-Schwachstellenanalyst beim Carnegie Mellon Software Engineering Institute; und ein niederländischer Cybersicherheitsstudent an der Technischen Universität Eindhoven unter denen, die posten PoC-Exploits auf GitHub und anderswoDies deutet darauf hin, dass bald weit verbreitete Angriffe in freier Wildbahn folgen könnten.

Der von Qualys-Forschern aufgedeckte Fehler birgt ein erhebliches Risiko für unbefugten Datenzugriff, Systemveränderungen und potenziellen Datendiebstahl auf Systemen, auf denen Fedora, Ubuntu, Debian und mehrere andere große Linux-Distributionen laufen, und gewährt Angreifern möglicherweise Root-Rechte auf unzähligen Linux-Systemen.

In dem Artikel von Qualys wurde festgestellt, dass neben der erfolgreichen Ausnutzung der Schwachstelle und der Erlangung vollständiger Root-Rechte für die Standardinstallationen von Fedora 37 und 38, Ubuntu 22.04 und 23.04 sowie Debian 12 und 13 wahrscheinlich auch andere Distributionen angreifbar und ausnutzbar waren.

„Diese konkrete Bedrohung der System- und Datensicherheit, gepaart mit der möglichen Integration der Schwachstelle in automatisierte Schad-Tools oder Software wie Exploit-Kits und Bots, erhöht das Risiko weit verbreiteter Ausnutzung und Dienstunterbrechungen“, sagt Saeed Abbasi, Produktmanager bei Qualys‘ Threat Research Unit, das letzte Woche bekannt gegeben wurde, als der Fehler aufgedeckt wurde.

Eine vielschichtige Bedrohung

Linux-Root-Übernahmen können sehr gefährlich sein, da sie Angreifern ein Höchstmaß an Kontrolle über ein Linux-basiertes System ermöglichen und der Root-Zugriff eine Rechteausweitung im gesamten Netzwerk ermöglicht, wodurch weitere Systeme gefährdet werden können, was den Umfang des Angriffs vergrößert.

Im Juli beispielsweise wurden zwei Schwachstellen in der Ubuntu-Implementierung eines beliebten Container-basierten Dateisystems entdeckt erlaubte Angreifer um Code mit Root-Rechten auf 40 % der Ubuntu-Linux-Cloud-Workloads auszuführen.

Wenn Angreifer Root-Zugriff erhalten, haben sie grundsätzlich die uneingeschränkte Befugnis, sensible Daten zu ändern, zu löschen oder zu exfiltrieren, schädliche Software oder Hintertüren in das System zu installieren und so laufende Angriffe fortzusetzen, die über längere Zeiträume unentdeckt bleiben.

Root-Übernahmen führen im Allgemeinen häufig zu Datenschutzverletzungen und ermöglichen unbefugten Zugriff auf vertrauliche Informationen wie Kundendaten, geistiges Eigentum und Finanzunterlagen. Außerdem können Angreifer den Geschäftsbetrieb stören, indem sie wichtige Systemdateien manipulieren.

Diese Unterbrechung kritischer Systemabläufe führt häufig zu Serviceausfällen oder einer Beeinträchtigung der Produktivität, was zu finanziellen Verlusten und einer Rufschädigung des Unternehmens führt.

Die Root-Übernahme-Bedrohung hält an und weitet sich aus – so wurde beispielsweise kürzlich ein Typosquatting-npm-Paket ans Licht gebracht, das einen Full-Service-Discord-Remote-Access-Trojaner RAT verbirgt. Die RAT ist eine schlüsselfertiges Rootkit und Hacking-Tool Dies senkt die Eintrittsbarriere für Angriffe auf die Lieferkette von Open-Source-Software.

Systeme sicher halten

Das exponentielle Wachstum der Linux-Distributionsbasis hat es zu einem gemacht größeres Ziel für Bedrohungsakteure, insbesondere in Cloud-Umgebungen.

Unternehmen haben mehrere Möglichkeiten, sich proaktiv vor Linux-Root-Übernahmen zu schützen – zum Beispiel regelmäßige Patches und Aktualisierungen des Linux-Betriebssystems und der Linux-Software sowie die Durchsetzung des Prinzips der geringsten Rechte, um den Zugriff einzuschränken.

Weitere Optionen umfassen den Einsatz von Intrusion Detection and Prevention-Systemen (IDS/IPS) und die Stärkung der Zugriffskontrollen durch Multifaktor-Authentifizierung (MFA) sowie die Überwachung von Systemprotokollen und Netzwerkverkehr sowie die Durchführung von Sicherheitsüberprüfungen und Schwachstellenbewertungen.

Anfang dieses Monats kündigte Amazon an, es hinzuzufügen neue MFA-Anforderungen für Benutzer mit den höchsten Berechtigungen, wobei geplant ist, im Laufe der Zeit weitere Benutzerebenen einzubeziehen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/looney-tunables-linux-flaw-sees-snowballing-proof-of-concept-exploits