Si s'exploten, aquestes falles poden permetre als atacants obtenir accés no autoritzat a informació confidencial o, en general, causar problemes
Aquí al bloc m'agrada compartir una gran quantitat de notícies sobre les descobertes de fallades i vulnerabilitats que són detectes a Linux dins dels seus diferents subsistemes, així com algunes aplicacions populars.
Com molts de vostès sabran el procés de divulgació duna vulnerabilitat tendeix a oferir un temps de gràcia perquè els desenvolupadors tinguin un període per poder solucionar aquesta fallada i llançar versions correctives o pegats. En la majoria dels casos abans que la vulnerabilitat sigui divulgada, les fallades són corregides, però no sempre és així i la informació així com els xplotis preparats són donats a conèixer al públic.
El tema sobre arribar fins aquest punt, és que no és la primera vegada que es fa conèixer que un «xploit» d'una vulnerabilitat resulta amb un «premi ocult», ja que a mitjans de juny, es va informar sobre una vulnerabilitat (catalogada sota CVE-2023-35829 ) al mòdul del nucli de Linux rkvdec.
En aquest cas, el PoC és un llop amb pell d'ovella, que inclou intencions malicioses sota l'aparença d'una eina d'aprenentatge inofensiva. La porta posterior oculta presenta una amenaça sigil·losa i persistent. Operant com a descarregador, descarrega i executa silenciosament un script bash de Linux, mentre disfressa les seves operacions com un procés a nivell de kernel.
La seva metodologia de persistència és força astuta. Utilitzat per construir executables a partir d'arxius de codi font, aprofita l'ordre make per crear un fitxer kworker i afegeix la seva ruta d'arxiu al fitxer bashrc , cosa que permet que el codi maliciós operi contínuament dins del sistema de la víctima.
La vulnerabilitat detectada condueix a accedir a una àrea de memòria després dalliberar-la a causa duna condició de carrera en la descàrrega del controlador. Es va suposar que el problema es limitava a una trucada de denegació de servei, però recentment, en algunes comunitats a Telegram i Twitter, va aparèixer informació que la vulnerabilitat pot ser utilitzada per obtenir drets de root per un usuari sense privilegis.
Per demostrar això, es van donar a conèixer com a evidència, dos prototips funcionals de xploits els quals van ser publicats a Github i posteriorment eliminats, pel fet que es van trobar backdoors en ells.
Una anàlisi dels exploits publicats va mostrar que contenen un codi maliciós que instal·la codi maliciós a Linux, ja que configuren un backdoor per a l'inici de sessió remot i envia alguns fitxers als atacants.
L'exploit maliciós només simulava obtenir accés root en mostrar missatges de diagnòstic sobre el progrés de l'atac, crear un espai d'identificador d'usuari separat amb el vostre propi usuari root i executar l'intèrpret d'ordres /bin/bash en un entorn aïllat del principal que creava la impressió de tenir accés de root en executar utilitats com whoami.
El codi maliciós es va activar trucant al fitxer executable aclocal.m4 des de l'script de compilació Makefile (els investigadors que van descobrir el codi maliciós es van alarmar pel fet que en compilar l'exploit, es diu un arxiu executable en format ELF com a script autoconf) . Després d'iniciar, l'executable crea un fitxer al sistema que afegeix a «~/.bashrc» per a l'inici automàtic.
D'aquesta manera, el procés canvia de nom el que suggereix que lusuari no ho notaria a la llista de processos en el context de l'abundància de processos kworker al nucli de Linux.
El procés de kworker després descarregaria un script bash d'un servidor extern i ho executaria al sistema. Alhora, l'script descarregat afegeix una clau per connectar els intrusos a través de SSH, i que a més guarda un fitxer amb el contingut del directori d'inici de l'usuari i alguns fitxers del sistema, com /etc/passwd, al servei d'emmagatzematge transfer.sh, després d'això s'envia com un enllaç al fitxer desat al servidor atacant.
Finalment cal esmentar que si ets un entusiasta que li agrada provar els xploits o les vulnerabilitats que es donen a conèixer, prenguis les teves precaucions i que mai no està de més, realitzar aquestes proves en un entorn aïllat (VM) o en un altre sistema/equip secundari que sigui específic per a això.
si estàs interessat a poder conèixer més sobre això, pots consultar els detalls a el següent enllaç.