'Looney Tunables' Linux-fout zorgt voor sneeuwbaleffect van proof-of-concept-exploits

Proof-of-concept (PoC)-exploits voor de beveiligingsfout CVE-2023-4911, genaamd Looney Tunables, zijn al ontwikkeld, na de onthulling vorige week van de kritieke kwetsbaarheid voor bufferoverloop die is aangetroffen in de veelgebruikte GNU C-bibliotheek (glibc) die aanwezig is in verschillende Linux-distributies.

Onafhankelijke veiligheidsonderzoeker Peter Geissler; Will Dormann, een softwarekwetsbaarheidsanalist bij het Carnegie Mellon Software Engineering Institute; en een Nederlandse cybersecuritystudent aan de Technische Universiteit Eindhoven waren dat wel onder degenen die posten PoC-exploits op GitHub en elders, wat erop wijst dat wijdverbreide aanvallen in het wild spoedig zouden kunnen volgen.

De fout, onthuld door Qualys-onderzoekers, vormt een aanzienlijk risico op ongeoorloofde gegevenstoegang, systeemwijzigingen en mogelijke gegevensdiefstal voor systemen waarop Fedora, Ubuntu, Debian en verschillende andere grote Linux-distributies draaien, waardoor aanvallers mogelijk rootrechten krijgen op talloze Linux-systemen.

In het artikel van Qualys werd opgemerkt dat naast het succesvol exploiteren van de kwetsbaarheid en het verkrijgen van volledige rootrechten op de standaardinstallaties van Fedora 37 en 38, Ubuntu 22.04 en 23.04, Debian 12 en 13, andere distributies waarschijnlijk ook kwetsbaar en exploiteerbaar waren.

“Deze tastbare bedreiging voor de systeem- en databeveiliging, gekoppeld aan de mogelijke integratie van de kwetsbaarheid in geautomatiseerde kwaadaardige tools of software zoals exploitkits en bots, vergroot het risico op wijdverbreide exploitatie en verstoringen van de dienstverlening”, zegt Saeed Abbasi, productmanager bij Qualys' Threat Research Unit, vorige week aangekondigd toen de fout aan het licht kwam.

Een veelzijdige bedreiging

Het overnemen van Linux-roots kan zeer gevaarlijk zijn omdat ze aanvallers het hoogste niveau van controle bieden over een Linux-gebaseerd systeem, en root-toegang de escalatie van bevoegdheden over het netwerk mogelijk maakt, wat extra systemen in gevaar kan brengen, waardoor de reikwijdte van de aanval wordt vergroot.

In juli waren er bijvoorbeeld twee kwetsbaarheden in de Ubuntu-implementatie van een populair containergebaseerd bestandssysteem toegestane aanvallers om code uit te voeren met rootrechten op 40% van de Ubuntu Linux-cloudworkloads.

Als aanvallers root-toegang verkrijgen, hebben ze in wezen onbeperkte bevoegdheden om gevoelige gegevens te wijzigen, verwijderen of te exfiltreren, kwaadaardige software of achterdeurtjes in het systeem te installeren, waardoor voortdurende aanvallen worden voortgezet die gedurende langere perioden onopgemerkt blijven.

Root-overnames leiden in het algemeen vaak tot datalekken, waardoor ongeoorloofde toegang mogelijk wordt tot gevoelige informatie zoals klantgegevens, intellectueel eigendom en financiële gegevens, en aanvallers kunnen de bedrijfsactiviteiten verstoren door met cruciale systeembestanden te knoeien.

Deze verstoring van kritieke systeemactiviteiten resulteert vaak in serviceonderbrekingen of een belemmering van de productiviteit, wat resulteert in financiële verliezen en schade aan de reputatie van de organisatie.

De dreiging van root-overname is aanhoudend en breidt zich steeds verder uit. Zo kwam er onlangs een typosquatting npm-pakket aan het licht dat een full-service Discord Trojan RAT voor externe toegang verbergt. De RAT is een kant-en-klare rootkit en hacktool dat verlaagt de toetredingsdrempel voor het uitvoeren van aanvallen op de toeleveringsketen van open source-software.

Systemen veilig houden

De exponentiële groei van de Linux-distributiebasis heeft ervoor gezorgd dat het een groter doelwit voor bedreigingsactoren, vooral in cloudomgevingen.

Organisaties hebben meerdere opties om zichzelf proactief te beschermen tegen Linux root-overnames, bijvoorbeeld door het regelmatig patchen en updaten van het Linux-besturingssysteem en de software en het afdwingen van het least privilege-principe om de toegang te beperken.

Andere opties zijn onder meer het inzetten van inbraakdetectie- en preventiesystemen (IDS/IPS) en het versterken van toegangscontroles ondersteund door multifactorauthenticatie (MFA), evenals het monitoren van systeemlogboeken en netwerkverkeer en het uitvoeren van beveiligingsaudits en kwetsbaarheidsbeoordelingen.

Eerder deze maand kondigde Amazon aan dat het dit zou toevoegen nieuwe MFA-vereisten voor gebruikers met de hoogste rechten, met plannen om in de loop van de tijd andere gebruikersniveaus toe te voegen.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/looney-tunables-linux-flaw-sees-snowballing-proof-of-concept-exploits