Defectul Linux „Looney Tunables” vede exploatații în bulgări de zăpadă

Exploatații Proof-of-Concept (PoC) pentru defect de securitate CVE-2023-4911, denumit Looney Tunables, au fost deja dezvoltate, ca urmare a dezvăluirii de săptămâna trecută a vulnerabilității critice de depășire a tamponului găsită în biblioteca GNU C (glibc) utilizată pe scară largă, prezentă în diferite distribuții Linux.

Cercetător independent de securitate Peter Geissler; Will Dormann, analist al vulnerabilităților software la Institutul de inginerie software Carnegie Mellon; și un student olandez în securitate cibernetică de la Universitatea de Tehnologie Eindhoven au fost printre cei care postează Exploatările PoC pe GitHub și în altă parte, indicând atacuri larg răspândite în sălbăticie ar putea urma în curând.

Defectul, dezvăluit de cercetătorii Qualys, prezintă un risc semnificativ de acces neautorizat la date, modificări ale sistemului și potențial furt de date pentru sistemele care rulează Fedora, Ubuntu, Debian și alte câteva distribuții Linux majore, acordând potențial atacatorilor privilegii root pe nenumărate sisteme Linux.

Scrisul Qualys a remarcat că, pe lângă exploatarea cu succes a vulnerabilității și obținerea de privilegii root complete pe instalările implicite Fedora 37 și 38, Ubuntu 22.04 și 23.04, Debian 12 și 13, alte distribuții erau probabil vulnerabile și exploatabile.

„Această amenințare tangibilă la adresa securității sistemului și a datelor, împreună cu posibila încorporare a vulnerabilității în instrumente automate rău intenționate sau software, cum ar fi kiturile de exploatare și roboții, crește riscul de exploatare pe scară largă și întreruperi ale serviciilor”, Saeed Abbasi, manager de produs la Qualys. Unitatea de cercetare a amenințărilor, anunțată săptămâna trecută, când defectul a fost dezvăluit.

O amenințare cu mai multe fațete

Preluările de rădăcină Linux pot fi extrem de periculoase deoarece oferă atacatorilor cel mai înalt nivel de control asupra unui sistem bazat pe Linux, iar accesul la rădăcină facilitează escaladarea privilegiilor în rețea, ceea ce poate compromite sisteme suplimentare, extinzând astfel sfera atacului.

În iulie, de exemplu, două vulnerabilități în implementarea Ubuntu a unui sistem de fișiere popular bazat pe containere au permis atacatorilor pentru a executa cod cu privilegii root pe 40% din sarcinile de lucru în cloud Ubuntu Linux.

Dacă atacatorii obțin acces rădăcină, aceștia au, în esență, autoritate nerestricționată de a modifica, șterge sau exfiltra date sensibile, instala software rău intenționat sau uși din spate în sistem, perpetuând atacurile în curs care rămân nedetectate pentru perioade îndelungate.

Preluările rădăcinilor, în general, duc adesea la încălcări ale datelor, permițând accesul neautorizat la informații sensibile, cum ar fi datele clienților, proprietatea intelectuală și înregistrările financiare, iar atacatorii pot perturba operațiunile de afaceri prin modificarea fișierelor de sistem esențiale.

Această întrerupere a operațiunilor critice ale sistemului duce adesea la întreruperi ale serviciului sau la reducerea productivității, ducând la pierderi financiare și deteriorarea reputației organizației.

Amenințarea de preluare a rădăcinii este în curs de desfășurare și se extinde – de exemplu, un pachet npm de tip typosquatting a ieșit recent la iveală care ascunde un troian Discord de acces la distanță cu servicii complete RAT. RAT este a rootkit la cheie și instrument de hacking care reduce bariera de intrare pentru a elimina atacurile lanțului de aprovizionare cu software open source.

Menținerea în siguranță a sistemelor

Creșterea exponențială a bazei de distribuție Linux a făcut-o a țintă mai mare pentru actorii amenințărilor, în special în mediile cloud.

Organizațiile au mai multe opțiuni de luat pentru a se proteja în mod proactiv de preluarea rădăcinilor Linux - de exemplu, corecțiile și actualizarea regulate a sistemului de operare și software-ului Linux și aplicarea principiului minimului privilegiu pentru a restricționa accesul.

Alte opțiuni includ implementarea sistemelor de detectare și prevenire a intruziunilor (IDS/IPS) și consolidarea controalelor de acces susținute de autentificarea multifactorială (MFA), precum și monitorizarea jurnalelor de sistem și a traficului de rețea și efectuarea de audituri de securitate și evaluări ale vulnerabilităților.

La începutul acestei luni, Amazon a anunțat că va adăuga noi cerințe AMF pentru utilizatorii cu cele mai înalte privilegii, cu planuri de a include alte niveluri de utilizator în timp.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/looney-tunables-linux-flaw-sees-snowballing-proof-of-concept-exploits