Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024 | LỖ HỔNG ATTT

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

Lỗ hổng có mã định danh là CVE-2023-6246, được phát hiện trong hàm _vsyslog_internal() của glibc, gọi bởi các hàm phổ biến syslog và vsyslog để ghi dữ liệu trong các hệ thống ghi log (system message logger).

Lỗ hổng này bắt nguồn từ một lỗi tràn bộ đệm (heap-based buffer overflow) xuất hiện trong glibc 2.37 vào tháng 8/2022 và sau đó được backport (cập nhật từ một phiên bản phần mềm mới về phiên bản cũ hơn) về phiên bản glibc 2.36 để giải quyết một lỗ hổng ít nghiêm trọng hơn có định danh CVE-2022-39046.

Các nhà nghiên cứu bảo mật của công ty công nghệ Qualys (Mỹ) cho biết: “Vấn đề tràn bộ đệm đặt ra một mối đe dọa đáng kể vì nó có thể cho phép leo thang đặc quyền cục bộ, cho phép người dùng không có đặc quyền giành được quyền truy cập root thông qua các dữ liệu độc hại gửi đến các ứng dụng sử dụng các chức năng ghi nhật ký. Mặc dù lỗ hổng này yêu cầu các điều kiện cụ thể để khai thác (chẳng hạn như đối số nhận dạng argv[0] hoặc openlog() dài bất thường)”.

Tác động đến hệ thống Debian, Ubuntu và Fedora

Trong quá trình kiểm tra lỗ hổng, Qualys xác nhận rằng Debian 12 và 13, Ubuntu 23.04 và 23.10 cũng như Fedora 37 đến 39 đều bị ảnh hưởng bởi CVE-2023-6246, cho phép người dùng không có đặc quyền có thể truy cập root trên các bản cài đặt mặc định. Mặc dù, các thử nghiệm chỉ giới hạn ở một số bản phân phối, nhưng các nhà nghiên cứu của Qualys cho biết rằng các bản phân phối khác cũng có thể bị khai thác.

Trong khi phân tích glibc để tìm kiếm các vấn đề bảo mật tiềm ẩn, các nhà nghiên cứu cũng phát hiện ba lỗ hổng khác, hai trong số đó khó khai thác hơn nằm trong hàm _vsyslog_internal() (CVE-2023-6779 và CVE-2023-6780) và lỗ hổng thứ ba (một vấn đề gây hỏng bộ nhớ và chưa được định danh CVE) trong hàm qsort() của glibc.

Saeed Abbasi, Giám đốc sản phẩm tại Đơn vị nghiên cứu mối đe dọa của Qualys cho biết: “Những lỗ hổng này cho thấy sự quan trọng của các biện pháp bảo mật nghiêm ngặt trong việc phát triển phần mềm, đặc biệt là đối với các thư viện quan trọng được sử dụng rộng rãi trên nhiều hệ thống và ứng dụng”.

Các lỗ hổng leo thang đặc quyền trên Linux khác được tìm thấy bởi Qualys

Trong vài năm qua, các nhà nghiên cứu tại Qualys đã tìm thấy một số lỗ hổng bảo mật trên Linux khác có thể cho phép tin tặc giành quyền kiểm soát hoàn toàn các hệ thống Linux chưa được vá, ngay cả trong cấu hình mặc định.

Các lỗ hổng mà Qualys phát hiện bao gồm một lỗ hổng trong trình tải động ld.so của glibc (Looney Tunables), một lỗ hổng trong thành phần pkexec của Polkit (được đặt tên là PwnKit), một lỗ hổng khác trong lớp hệ thống tệp của Kernel (được đặt tên là Sequoia) và trong chương trình Sudo Unix (còn gọi là Baron Samedit) .

Vài ngày sau khi lỗ hổng Looney Tunables (CVE-2023-4911) được tiết lộ, các PoC đã được công bố trực tuyến và tin tặc bắt đầu khai thác nó một tháng sau đó để đánh cắp thông tin đăng nhập của nhà cung cấp dịch vụ đám mây trong các cuộc tấn công sử dụng phần mềm độc hại Kinsing.

Nhóm Kinsing nổi tiếng với việc triển khai phần mềm độc hại khai thác tiền điện tử trên các hệ thống dựa trên đám mây bị xâm nhập, bao gồm các máy chủ Kubernetes, Docker API, Redis và Jenkins.

CISA sau đó đã thông báo cho các cơ quan liên bang Hoa Kỳ bảo vệ hệ thống Linux của họ trước các cuộc tấn công khai thác lỗ hổng CVE-2023-4911 sau khi thêm nó vào danh mục các lỗ hổng được khai thác tích cực và cảnh báo rằng đây là rủi ro đáng kể cho doanh nghiệp liên bang.

Hà Phương

‹ › ×

Tin liên quan

Thiết lập chính sách mật khẩu an toàn trên Linux

10:00 | 10/04/2024

Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.

Looney Tunables: Lỗ hổng nâng cao đặc quyền mới trên Linux

15:00 | 13/10/2023

Một lỗ hổng bảo mật mới trên Linux, được gọi là “Looney Tunables” và được theo dõi là CVE-2023-4911, cho phép kẻ tấn công cục bộ giành được đặc quyền root bằng cách khai thác điểm yếu tràn bộ đệm trong trình tải động “ld.so” của thư viện GNU C (glibc).

Nagios phát hành bản vá cho công cụ giám sát Nagios XI

08:00 | 12/03/2024

Hai lỗ hổng lần lượt có mã định danh CVE-2024-24401 và CVE-2024-24402 được tìm thấy trong Nagios XI - một công cụ giám sát hạ tầng mạng trong doanh nghiệp. Đáng lưu ý, cả hai lỗ hổng đều chưa có điểm CVSS.

Bóc tách gói PyPI độc hại mới khai thác tiền điện tử trên các thiết bị Linux

08:00 | 25/01/2024

Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.

Phân tích cuộc tấn công chuỗi cung ứng để cài đặt backdoor nhắm vào các hệ thống Linux

13:00 | 20/09/2023

Trong vài năm qua, các máy chủ Linux đã ngày càng trở thành mục tiêu nổi bật của các tác nhân đe dọa. Mới đây, Kaspersky đã tiết lộ một chiến dịch độc hại trong đó một trình cài đặt phần mềm có tên “Free Download Manager” được các tin tặc sử dụng để cài đặt backdoor trên các máy chủ Linux kéo dài trong suốt 3 năm qua. Các nhà nghiên cứu phát hiện ra rằng nạn nhân đã bị lây nhiễm khi họ tải xuống phần mềm từ trang web chính thức, cho thấy đây có thể là một cuộc tấn công chuỗi cung ứng. Các biến thể của phần mềm độc hại được sử dụng trong chiến dịch này lần đầu tiên được xác định vào năm 2013.

Tin cùng chuyên mục

Dịch vụ lừa đảo nhắm vào người dùng iPhone thông qua iMessage

10:00 | 29/03/2024

Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.