Des attaquants non privilégiés peuvent obtenir un accès root sur plusieurs distributions Linux majeures dans des configurations par défaut en exploitant une vulnérabilité d’élévation de privilèges locaux (LPE) nouvellement divulguée dans la bibliothèque GNU C (glibc).
Identifiée comme CVE-2023-6246, cette faille de sécurité a été trouvée dans la fonction __vsyslog_internal() de la glibc, appelée par les fonctions syslog et vsyslog largement utilisées pour écrire des messages dans l’enregistreur de messages système.
Le bogue est dû à une faiblesse de dépassement de tampon basée sur le tas introduite accidentellement dans la glibc 2.37 en août 2022 et ultérieurement rétroportée vers la glibc 2.36 lors du traitement d’une vulnérabilité moins grave identifiée comme CVE-2022-39046.
« Le problème de débordement de tampon constitue une menace importante car il pourrait permettre une élévation des privilèges locaux, permettant à un utilisateur non privilégié d’obtenir un accès root complet grâce à des entrées contrefaites vers des applications qui utilisent ces fonctions de journalisation », ont déclaré les chercheurs en sécurité de Qualys.
« Bien que la vulnérabilité nécessite des conditions spécifiques pour être exploitée (comme un argument ident argv[0] ou openlog() inhabituellement long), son impact est significatif en raison de l’utilisation généralisée de la bibliothèque affectée. »
Impacts sur les systèmes Debian, Ubuntu et Fedora
En testant leurs résultats, Qualys a confirmé que Debian 12 et 13, Ubuntu 23.04 et 23.10 et Fedora 37 à 39 étaient tous vulnérables aux exploits CVE-2023-6246, permettant à tout utilisateur non privilégié d’augmenter ses privilèges vers un accès root complet sur les installations par défaut.
Bien que leurs tests aient été limités à une poignée de distributions, les chercheurs ont ajouté que « d’autres distributions sont probablement également exploitables. »
En analysant la glibc à la recherche d’autres problèmes de sécurité potentiels, les chercheurs ont également découvert trois autres vulnérabilités, deux d’entre elles—plus difficiles à exploiter— dans la fonction __vsyslog_internal () (CVE-2023-6779 et CVE-2023-6780) et une troisième (un problème de corruption de mémoire toujours en attente d’un CVEID) dans la fonction qsort () de la glibc.
« Ces failles soulignent le besoin critique de mesures de sécurité strictes dans le développement de logiciels, en particulier pour les bibliothèques principales largement utilisées dans de nombreux systèmes et applications », a déclaré Saeed Abbasi, chef de produit au sein de l’Unité de recherche sur les menaces de Qualys.
Autres failles d’escalade racine Linux trouvées par Qualys
Au cours des dernières années, les chercheurs de Qualys ont découvert plusieurs autres vulnérabilités de sécurité Linux qui peuvent permettre aux attaquants de prendre le contrôle total des systèmes Linux non corrigés, même dans des configurations par défaut.
Les vulnérabilités qu’ils ont découvertes incluent une faille dans la glibc ld.so Looney Tunables), un dans le composant pkexec de Polkit (surnommé PwnKit), un autre dans la couche système de fichiers du Noyau (surnommé Sequoia) et dans le programme Unix Sudo (alias Baron Samedit).
Quelques jours après la révélation de la faille Looney Tunables (CVE-2023-4911), des exploits de preuve de concept (PoC) ont été publiés en ligne, et les acteurs de la menace ont commencé à l’exploiter un mois plus tard pour voler les informations d’identification du fournisseur de services cloud (CSP) dans des attaques de logiciels malveillants Kinsing.
Le gang Kinsing est connu pour déployer des logiciels malveillants d’extraction de crypto-monnaie sur des systèmes compromis basés sur le cloud, notamment Kubernetes, les API Docker, Redis et les serveurs Jenkins.
CISA a ensuite ordonné aux agences fédérales américaines de sécuriser leurs systèmes Linux contre les attaques CVE-2023-4911 après l’avoir ajouté à son catalogue de bogues activement exploités et l’avoir étiqueté comme posant « des risques importants pour l’entreprise fédérale. »