Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken
Hier op de blog Ik deel graag veel nieuws over bugontdekkingen en kwetsbaarheden die worden gedetecteerd op linux binnen zijn verschillende subsystemen, evenals enkele populaire toepassingen.
Zoals velen van jullie zullen weten het proces van het onthullen van een kwetsbaarheid biedt meestal een respijtperiode zodat de ontwikkelaars een periode hebben om de bug op te lossen en corrigerende versies of patches te lanceren. In de meeste gevallen worden de bugs opgelost voordat de kwetsbaarheid wordt onthuld, maar dit is niet altijd het geval en de informatie en de voorbereide xplots worden vrijgegeven voor het publiek.
Het punt om op dit punt te komen is dat Het is niet de eerste keer dat wordt onthuld dat een "xploit" uit een kwetsbaarheid voortvloeit met een "verborgen prijs", sinds half juni is er een kwetsbaarheid (vermeld onder CVE-2023-35829 ) gemeld in de Linux-kernelmodule rkvdec.
In dit geval is de PoC een wolf in schaapskleren, die kwaadaardige bedoelingen koestert onder het mom van een onschuldig leermiddel. De verborgen achterdeur vormt een onopvallende en aanhoudende dreiging. Het werkt als een downloader en downloadt en voert stilletjes een Linux bash-script uit, terwijl het zijn bewerkingen vermomt als een proces op kernelniveau.
De persistentiemethodologie is behoorlijk scherpzinnig. Het wordt gebruikt om uitvoerbare bestanden te bouwen van bronbestanden, maakt gebruik van de make-opdracht om een kworker-bestand te maken en voegt het bestandspad toe aan het bashrc-bestand, waardoor de malware continu kan werken binnen het systeem van het slachtoffer.
Gedetecteerde kwetsbaarheid leidt tot toegang tot een geheugengebied na het vrijgeven vanwege een raceconditie in de driverdownload. Er werd aangenomen dat het probleem zich beperkte tot een denial of service-oproep, maar onlangs verscheen in sommige communities op Telegram en Twitter informatie dat de kwetsbaarheid kan worden gebruikt om rootrechten te verkrijgen door een niet-geprivilegieerde gebruiker.
Om dit aan te tonen, twee functionele prototypen van xploits werden vrijgegeven als bewijs welke werden op Github gepost en later verwijderd, omdat er backdoors op werden gevonden.
Dat bleek uit een analyse van de gepubliceerde exploits bevatten schadelijke code die malware op Linux installeert, terwijl ze een achterdeur opzetten voor inloggen op afstand en enkele bestanden naar de aanvallers sturen.
De kwaadaardige exploit deed net alsof hij root-toegang kreeg door diagnostische berichten over de voortgang van de aanval weer te geven, een aparte ruimte voor gebruikersidentificatie te creëren met zijn eigen rootgebruiker, en de shell /bin/bash uit te voeren in een omgeving die is geïsoleerd van de hoofdsom die de indruk wekte roottoegang te hebben bij het uitvoeren van hulpprogramma's zoals whoami.
De kwaadaardige code het werd geactiveerd door het uitvoerbare bestand aclocal.m4 vanuit het script aan te roepen Makefile-compilatiescript (onderzoekers die de schadelijke code ontdekten, waren gealarmeerd door het feit dat bij het compileren van de exploit een uitvoerbaar bestand in ELF-indeling wordt genoemd als autoconf-script) . Na het starten maakt het uitvoerbare bestand een bestand op het systeem dat het toevoegt aan "~/.bashrc" voor automatisch opstarten.
Aldus het proces is hernoemd, wat suggereert dat de gebruiker het niet zou opmerken in de proceslijst in de context van de overvloed aan kworker-processen in de Linux-kernel.
Het kworker-proces downloadt dan een bash-script van een externe server en zou het op het systeem uitvoeren. Het gedownloade script voegt op zijn beurt een sleutel toe om verbinding te maken met de indringers via SSH, en die ook een bestand met de inhoud van de homedirectory van de gebruiker en enkele systeembestanden, zoals /etc/passwd, opslaat in de opslagservice transfer.sh, waarna het als een link naar het opgeslagen bestand naar de aanvallende server wordt gestuurd.
Ten slotte is het vermeldenswaard dat als je een liefhebber bent die graag xploits of kwetsbaarheden test die openbaar worden gemaakt, neem je voorzorgsmaatregelen en het kan nooit kwaad om deze tests uit te voeren in een geïsoleerde omgeving (VM) of op een ander secundair systeem/apparatuur die hiervoor specifiek is.
Wanneer je geïnteresseerd om er meer over te weten, u kunt de details inchecken de volgende link.