image

VS meldt actief misbruik van Linux-kwetsbaarheid 'Looney Tunables'

woensdag 22 november 2023, 09:35 door Redactie, 5 reacties

Aanvallers maken actief misbruik van een kwetsbaarheid in de GNU C Library, aangeduid als Looney Tunables of CVE-2023-4911, voor het aanvallen van Linux-systemen. Dat meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, dat federale overheidsinstanties heeft opgedragen om de kwetsbaarheid voor 12 december te patchen.

Begin deze maand liet securitybedrijf Aqua Nautilus weten dat een groep aanvallers het beveiligingslek gebruikte voor de installatie van de Kinsing-malware. Via de kwetsbaarheid in de GNU C Library kan een aanvaller die al toegang tot een systeem heeft rootrechten krijgen. De aanvallen die het securitybedrijf waarnam waren gericht tegen cloudomgevingen.

Zodra de aanvallers toegang tot een Linux-systeem hebben verhogen ze via het lek hun rechten en installeren een webshell om toegang te behouden en verdere aanvallen uit te voeren. Het uiteindelijke doel van de aanvallers is het stelen van inloggegevens van de cloudserviceprovider. Afgelopen oktober kwamen er updates voor het beveiligingslek uit. Kort daarna verschenen de eerste proof-of-concept exploits online.

Reacties (5)
22-11-2023, 10:09 door Anoniem
Ik lees dat Qualys Research Labs dit probleem heeft gemeld: https://access.redhat.com/security/cve/cve-2023-4911
22-11-2023, 14:41 door Anoniem
Gevaarlijk, zou een aanvaller ook in de context van een apache/nginxuser naar root level kunnen komen? Dan zouden webservers kwetsbaar zijn, want een bezoeker draait toch in die context?
22-11-2023, 15:10 door Anoniem
Door Anoniem: Gevaarlijk, zou een aanvaller ook in de context van een apache/nginxuser naar root level kunnen komen? Dan zouden webservers kwetsbaar zijn, want een bezoeker draait toch in die context?
Dan zou de bug niet belangrijk maar misschien wel kritiek geweest zijn. De CVSS v3 Base Score is nu 7.8 (important)
Je kan niet inloggen als apache user (geen shell). Dan moet het gecombineerd worden met andere bugs in de webserver.
Bij ons worden belangrijke patches 1x per maand geïnstalleerd omdat het in het windows schema mee moet :(
Alleen kritieke patches mogen onmiddellijk.
22-11-2023, 15:29 door Anoniem
Door Anoniem: Gevaarlijk, zou een aanvaller ook in de context van een apache/nginxuser naar root level kunnen komen? Dan zouden webservers kwetsbaar zijn, want een bezoeker draait toch in die context?

Waarschijnlijk niet _zo_ makkelijk.
Een webserver bezoeker kan typisch niet zomaar code uitvoeren op het systeem.

Als je die Qualys writeup leest (en dat PoC op github bekijkt) is er een vrij ruime 'lokale toegang' nodig om het echt te gebruiken, meer dan wat een apache/nginx bezoeker normaal heeft . (En ook maar dan een een 'postfix user' heeft , bijvoorbeeld).
26-11-2023, 18:18 door Joep Lunaar
voor geïnteresseerden https://lwn.net/Articles/947736/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.