Om de utnyttjas kan dessa brister tillåta angripare att få obehörig åtkomst till känslig information eller i allmänhet orsaka problem
Här på bloggen Jag gillar att dela med mig av många nyheter om upptäckter av buggar och sårbarheter som upptäcks på Linux inom dess olika delsystem, såväl som några populära applikationer.
Som många av er vet processen att avslöja en sårbarhet tenderar att erbjuda en respitperiod så att utvecklarna har en period på sig att kunna lösa nämnda bugg och lansera korrigerande versioner eller patchar. I de flesta fall innan sårbarheten avslöjas fixas buggarna, men så är inte alltid fallet och informationen såväl som de förberedda xplots släpps till allmänheten.
Grejen med att komma till denna punkt är det Det är inte första gången som det har avslöjats att en "exploitering" från en sårbarhet resultat med ett "dolt pris", sedan i mitten av juni rapporterades en sårbarhet (listad under CVE-2023-35829 ) i Linux-kärnmodulen rkvdec.
I det här fallet är PoC en varg i fårakläder, som hyser illvilliga avsikter under sken av ett ofarligt läromedel. Dess dolda bakdörr utgör ett smygande och ihållande hot. Den fungerar som en nedladdare och laddar ner och kör ett Linux-bash-skript tyst, samtidigt som den döljer sin verksamhet som en process på kärnnivå.
Dess uthållighetsmetodik är ganska skarpsinnig. Används för att bygga körbara filer från källfiler, den drar fördel av make-kommandot för att skapa en kworker-fil och lägger till sin sökväg till bashrc-filen, vilket tillåter skadlig programvara att kontinuerligt arbeta i offrets system.
Upptäckt sårbarhet leder till åtkomst till ett minnesområde efter att ha släppt den på grund av ett tävlingstillstånd i förarens nedladdning. Det antogs att problemet var begränsat till ett denial of service-samtal, men nyligen, i vissa gemenskaper på Telegram och Twitter, dök det upp information om att sårbarheten kan användas för att få root-rättigheter av en oprivilegierad användare.
För att demonstrera detta, två funktionella prototyper av xploits släpptes som bevis vilken lades upp på Github och togs senare bort, eftersom bakdörrar hittades på dem.
En analys av de publicerade bedrifterna visade det innehåller skadlig kod som installerar skadlig programvara på Linux, eftersom de sätter upp en bakdörr för fjärrinloggning och skickar några filer till angriparna.
Det skadliga utnyttjandet låtsades bara få root-åtkomst genom att visa diagnostiska meddelanden om attackens fortskridande, skapa ett separat användaridentifieringsutrymme med sin egen root-användare och köra /bin/bash-skalet i en miljö isolerad från principal som skapade intrycket av att ha root-åtkomst när man kör verktyg som whoami.
Skadlig kod den aktiverades genom att anropa den körbara filen aclocal.m4 från skriptet Makefile-kompileringsskript (forskare som upptäckte den skadliga koden blev oroade över det faktum att en körbar fil i ELF-format kallas autoconf-skript vid kompileringen av exploateringen). Efter start skapar den körbara filen en fil på systemet som den lägger till i "~/.bashrc" för automatisk start.
På detta sätt, processen döps om vilket tyder på att användaren inte skulle märka det i processlistan i sammanhanget med överflöd av kworker-processer i Linux-kärnan.
Kworker-processen skulle sedan ladda ner ett bash-skript från en extern server och skulle köra det på systemet. I sin tur lägger det nedladdade skriptet till en nyckel för att ansluta till inkräktarna via SSH, och som även sparar en fil med innehållet i användarens hemkatalog och några systemfiler, som /etc/passwd, till lagringstjänsten transfer.sh, varefter den skickas som en länk till den sparade filen till den attackerande servern.
Slutligen är det värt att nämna att om du är en entusiast som gillar att testa xploits eller sårbarheter som avslöjas, ta dina försiktighetsåtgärder och det skadar aldrig att utföra dessa tester i en isolerad miljö (VM) eller på ett annat sekundärt system/utrustning som är specifik för detta.
Om du är det intresserad av att veta mer om det, du kan kolla in detaljerna följande länk.