Mereka mengesan pintu belakang tersembunyi dalam "ujian eksploitasi" kelemahan yang menjejaskan Linux

Darkcrizt

Minit 4

kelemahan

Jika dieksploitasi, kelemahan ini boleh membenarkan penyerang mendapat akses tanpa kebenaran kepada maklumat sensitif atau secara amnya menyebabkan masalah

Di sini di blog Saya suka berkongsi banyak berita tentang penemuan pepijat dan kelemahan yang dikesan pada linux dalam subsistemnya yang berbeza, serta beberapa aplikasi popular.

Seperti yang anda ketahui proses mendedahkan kelemahan cenderung menawarkan tempoh tangguh supaya pembangun mempunyai tempoh untuk dapat menyelesaikan pepijat tersebut dan melancarkan versi pembetulan atau tampung. Dalam kebanyakan kes sebelum kelemahan didedahkan, pepijat telah diperbaiki, tetapi ini tidak selalu berlaku dan maklumat serta xplot yang disediakan dikeluarkan kepada orang ramai.

Perkara untuk sampai ke tahap ini ialah Ia bukan kali pertama ia telah mendedahkan bahawa "xploit" daripada hasil kelemahan dengan "hadiah tersembunyi", sejak pertengahan bulan Jun, kelemahan (disenaraikan di bawah CVE-2023-35829 ) telah dilaporkan dalam modul kernel Linux rkvdec.

Dalam kes ini, PoC ialah serigala dalam pakaian biri-biri, menyimpan niat jahat di bawah samaran alat pembelajaran yang tidak berbahaya. Pintu belakangnya yang tersembunyi memberikan ancaman yang tersembunyi dan berterusan. Beroperasi sebagai pemuat turun, ia memuat turun dan melaksanakan skrip bash Linux secara senyap, sambil menyamar operasinya sebagai proses peringkat kernel.

Metodologi kegigihannya agak cerdik. Digunakan untuk membina boleh laku daripada fail sumber, ia mengambil kesempatan daripada arahan make untuk mencipta fail kworker dan menambahkan laluan failnya pada fail bashrc, membolehkan perisian hasad beroperasi secara berterusan dalam sistem mangsa.

Kerentanan yang dikesan membawa kepada akses kepada kawasan memori selepas mengeluarkannya kerana keadaan perlumbaan dalam muat turun pemandu. Diandaikan bahawa masalah itu terhad kepada penolakan panggilan perkhidmatan, tetapi baru-baru ini, dalam sesetengah komuniti di Telegram dan Twitter, maklumat kelihatan bahawa kelemahan itu boleh digunakan untuk mendapatkan hak akar oleh pengguna yang tidak mempunyai hak istimewa.

Untuk menunjukkan ini, dua prototaip berfungsi xploits telah dikeluarkan sebagai bukti yang mana telah disiarkan pada Github dan kemudian dialih keluar, kerana pintu belakang ditemui pada mereka.

Analisis terhadap eksploitasi yang diterbitkan menunjukkan bahawa mengandungi kod hasad yang memasang perisian hasad pada Linux, kerana mereka menyediakan pintu belakang untuk log masuk jauh dan menghantar beberapa fail kepada penyerang.

Eksploitasi berniat jahat hanya berpura-pura mendapat akses root dengan memaparkan mesej diagnostik tentang kemajuan serangan, mencipta ruang pengecam pengguna yang berasingan dengan pengguna akarnya sendiri, dan menjalankan shell /bin/bash dalam persekitaran yang diasingkan daripada prinsipal yang mencipta kesan mempunyai akses root apabila menjalankan utiliti seperti whoami.

Kod berniat jahat ia telah diaktifkan dengan memanggil fail boleh laku aclocal.m4 daripada skrip Skrip kompilasi Makefile (penyelidik yang menemui kod berniat jahat itu bimbang dengan fakta bahawa apabila menyusun eksploit, fail boleh laku dalam format ELF dipanggil sebagai skrip autoconf) . Selepas bermula, boleh laku mencipta fail pada sistem yang ditambahkan pada "~/.bashrc" untuk permulaan automatik.

Dengan cara ini, proses itu dinamakan semula yang menunjukkan pengguna tidak akan menyedarinya dalam senarai proses dalam konteks kelimpahan proses kworker dalam kernel Linux.

Proses kworker kemudiannya akan memuat turun skrip bash dari pelayan luaran dan akan menjalankannya pada sistem. Sebaliknya, skrip yang dimuat turun menambah kunci untuk menyambung kepada penceroboh melalui SSH, dan yang juga menyimpan fail dengan kandungan direktori rumah pengguna dan beberapa fail sistem, seperti /etc/passwd, ke pemindahan perkhidmatan storan.sh, selepas itu ia dihantar sebagai pautan ke fail yang disimpan ke pelayan yang menyerang.

Akhir sekali, perlu dinyatakan bahawa jika anda seorang peminat yang suka menguji xploits atau kelemahan yang didedahkan, ambil langkah berjaga-jaga anda dan tidak ada salahnya untuk melakukan ujian ini dalam persekitaran terpencil (VM) atau pada sistem/peralatan sekunder lain yang khusus untuk ini.

Jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak butirannya di pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.