Vulnerabilidades descobertas no Ubuntu
21 de Novembro de 2024

Vulnerabilidades com décadas de existência foram recentemente reveladas no pacote needrestart, que é instalado por padrão no Ubuntu Server (desde a versão 21.04), as quais poderiam permitir que um atacante local obtivesse privilégios de root sem requerer interação do usuário.

A Unidade de Pesquisa de Ameaças da Qualys (TRU), que identificou e reportou as falhas no início do mês passado, afirmou que elas são fáceis de serem exploradas, necessitando que os usuários apliquem rapidamente as correções.

Acredita-se que as vulnerabilidades existam desde a introdução do suporte a interpretadores no needrestart 0.8, que foi lançado em 27 de abril de 2014.

"Esses exploits do needrestart permitem a Elevação de Privilégios Locais (LPE), o que significa que um atacante local é capaz de obter privilégios de root", disse o Ubuntu em um comunicado, observando que eles foram endereçados na versão 3.8.

As vulnerabilidades afetam Debian, Ubuntu e outras distribuições Linux.

Needrestart é uma ferramenta que varre um sistema para determinar os serviços que precisam ser reiniciados após a aplicação de atualizações de bibliotecas compartilhadas de uma maneira que evita um reboot completo do sistema.

As cinco falhas são listadas a seguir:

- CVE-2024-48990 (pontuação CVSS: 7.8) - Uma vulnerabilidade que permite atacantes locais executarem código arbitrário como root, enganando o needrestart a executar o interpretador Python com uma variável de ambiente PYTHONPATH controlada pelo atacante. CVE-2024-48991 (pontuação
CVSS: 7.8) - Uma vulnerabilidade que permite atacantes locais executarem código arbitrário como root, ganhando uma condição de corrida e enganando o needrestart para rodar seu próprio interpretador Python falso. CVE-2024-48992 (pontuação CVSS: 7.8) - Uma vulnerabilidade que permite atacantes locais executarem código arbitrário como root, enganando o needrestart para executar o interpretador Ruby com uma variável de ambiente RUBYLIB controlada pelo atacante. CVE-2024-11003 (pontuação CVSS: 7.8) e CVE-2024-10224 (pontuação CVSS: 5.3) - Duas vulnerabilidades que permitem um atacante local executar comandos de shell arbitrários como root, aproveitando-se de um problema no pacote libmodule-scandeps-perl (antes da versão 1.36)

A exploração bem-sucedida das falhas mencionadas poderia permitir que um atacante local configurasse variáveis de ambiente especialmente criadas para PYTHONPATH ou RUBYLIB que pudessem resultar na execução de código arbitrário apontando para o ambiente do ator da ameaça quando o needrestart é executado.

"No CVE-2024-10224 , [...] a entrada controlada pelo atacante poderia fazer com que o módulo Perl Module::ScanDeps executasse comandos de shell arbitrários ao abrir um 'pesky pipe' (como ao passar 'commands|' como um nome de arquivo) ou ao passar strings arbitrárias para eval()", observou o Ubuntu.

Por si só, isso não é suficiente para uma elevação de privilégio local.

No entanto, no CVE-2024-11003 , o needrestart passa uma entrada controlada pelo atacante (nomes de arquivos) para o Module::ScanDeps e desencadeia o CVE-2024-10224 com privilégio de root.

A correção para o CVE-2024-11003 remove a dependência do needrestart no Module::ScanDeps.

Embora seja altamente recomendado baixar as últimas correções, o Ubuntu disse que os usuários podem desabilitar os scanners de interpretadores no arquivo de configuração do needrestart como uma mitigação temporária e garantir que as alterações sejam revertidas após a aplicação das atualizações.

"Essas vulnerabilidades na ferramenta needrestart permitem que usuários locais escalem seus privilégios ao executar código arbitrário durante instalações ou atualizações de pacotes, onde o needrestart é frequentemente executado como usuário root", disse Saeed Abbasi, gerente de produto da TRU na Qualys.

Um atacante que exploite essas vulnerabilidades poderia obter acesso root, comprometendo a integridade e a segurança do sistema.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...