Quase 40% dos usuários Ubuntu estão vulneráveis a novas falhas de elevação de privilégios
27 de Julho de 2023

Duas vulnerabilidades do Linux introduzidas recentemente no kernel do Ubuntu criam o potencial para usuários locais não privilegiados obterem privilégios elevados em um grande número de dispositivos.

O Ubuntu é uma das distribuições Linux mais amplamente utilizadas, especialmente popular nos EUA, tendo uma base de usuários aproximada de mais de 40 milhões.

Duas falhas recentes identificadas como CVE-2023-32629 e CVE-2023-2640 descobertas pelos pesquisadores da Wiz, S. Tzadik e S. Tamari foram recentemente introduzidas no sistema operacional, impactando cerca de 40% da base de usuários do Ubuntu.

CVE-2023-2640 é uma vulnerabilidade de alta gravidade (pontuação CVSS v3: 7.8) no kernel Linux do Ubuntu causada por verificações de permissão inadequadas que permitem a um invasor local obter privilégios elevados.

CVE-2023-32629 é uma falha de gravidade média (pontuação CVSS v3: 5.4) no subsistema de gerenciamento de memória do kernel Linux, onde uma condição de corrida ao acessar VMAs pode levar a uso após liberação, permitindo a um invasor local executar código arbitrário.

Os dois analistas encontraram os problemas após descobrirem discrepâncias na implementação do módulo OverlayFS no kernel Linux.

O OverlayFS é uma implementação de sistema de arquivos de montagem em união visada por atores de ameaças muitas vezes no passado devido à permissão de acesso não privilegiado via namespaces de usuários e por estar repleto de bugs facilmente exploráveis.

O Ubuntu, como uma das distribuições que usam OverlayFS, fez alterações customizadas em seu módulo OverlayFS em 2018, que eram geralmente seguras.

No entanto, em 2019 e 2022, o projeto do kernel Linux fez suas próprias modificações no módulo, que entraram em conflito com as alterações do Ubuntu.

A distribuição disseminada adotou o código contendo essas mudanças recentemente, e os conflitos causaram a introdução das duas falhas.

Infelizmente, o risco de exploração é iminente, pois PoCs para as duas falhas têm sido publicamente disponíveis há muito tempo.

"Ambas as vulnerabilidades são únicas para os kernels do Ubuntu, pois se originaram das alterações individuais do Ubuntu no módulo OverlayFS", alertaram os pesquisadores da Wiz.

"Explorações armadas para essas vulnerabilidades já estão disponíveis publicamente, dado que as explorações antigas para as vulnerabilidades passadas do OverlayFS funcionam sem quaisquer alterações."

Vale ressaltar que as duas falhas destacadas impactam apenas o Ubuntu, e qualquer outra distribuição Linux, incluindo as versões modificadas do Ubuntu, que não utilizam modificações customizadas do módulo OverlayFS devem estar seguras.

O Ubuntu lançou um boletim de segurança sobre os problemas e mais seis vulnerabilidades abordadas na última versão do kernel Linux Ubuntu e disponibilizou atualizações de correção.

Os usuários que não sabem como reinstalar e ativar módulos de kernel de terceiros são recomendados a realizar a atualização via gerenciador de pacotes, que deve cuidar de todas as dependências e configurações pós-instalação.

É necessário reiniciar após a instalação das atualizações para que a atualização do kernel Linux tenha efeito no Ubuntu.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...