Exploits de Looney Tunables permite obtener privilegios de root en las distribuciones Linux más famosas

Las PoC de un exploit que aprovecha una peligrosa vulnerabilidad de alta severidad en el cargador dinámico de la GNU C Library (GLIBC) han comenzado a emerger en las plataformas online, permitiendo a atacantes locales obtener privilegios de root en importantes distribuciones de Linux.

Conocida como ‘Looney Tunables‘ y registrada como CVE-2023-4911, esta vulnerabilidad de seguridad es el resultado de una debilidad de buffer overflow y afecta a las instalaciones predeterminadas de Debian 12 y 13, Ubuntu 22.04 y 23.04, así como Fedora 37 y 38.

Los atacantes pueden aprovechar esta vulnerabilidad utilizando una variable de entorno maliciosamente diseñada llamada GLIBC_TUNABLES, que es procesada por el cargador dinámico ld.so. Esto les permite obtener ejecución de código arbitrario con privilegios de root al lanzar binarios con permisos SUID.

Desde que el Equipo de Investigación de Amenazas de Qualys se reveló esta vulnerabilidad el pasado martes, y varios investigadores de seguridad ya han publicado código de PoC de exploits que funcionan en algunas configuraciones del sistema.

Una de estos PoC, confirmada por el experto en vulnerabilidades y exploits Will Dormann, fue lanzado por el investigador de seguridad independiente Peter Geissler, conocido como ‘blasty‘ recientemente.

Aunque este exploit puede utilizarse contra un número limitado de objetivos, el PoC también proporciona instrucciones sobre cómo identificar otras posibles víctimas al encontrar la posición de trabajo adecuada para el cargador dinámico ld.so en cada sistema.

Otros investigadores también están desarrollando y liberando rápidamente sus propios exploits para la CVE-2023-4911 en plataformas como GitHub y otros sitios web de seguridad. Sin embargo, hasta el momento, no se ha podido confirmar la efectividad de estos exploits adicionales.

Los administradores de sistemas deben tomar medidas inmediatas debido a la amenaza significativa que representa esta vulnerabilidad, ya que concede acceso de root completo a sistemas que ejecutan las versiones más recientes de las populares plataformas Linux, incluyendo Fedora, Ubuntu y Debian.

Es importante destacar que los administradores de Alpine Linux, una distribución que no se ve afectada por esta vulnerabilidad, no necesitan preocuparse por aplicar parches a sus sistemas. Sin embargo, aquellos que utilizan otras distribuciones afectadas deben dar prioridad a la aplicación de parches para proteger la integridad y seguridad de sus sistemas.

«Nuestra explotación exitosa, que otorga privilegios de root completos en distribuciones importantes como Fedora, Ubuntu y Debian, resalta la gravedad y la amplia distribución de esta vulnerabilidad. Aunque estamos reteniendo nuestro código de explotación por ahora, la facilidad con la que se puede transformar el buffer overflow en un ataque de solo datos implica que otros equipos de investigación podrían pronto producir y liberar exploits».

Saeed Abbasi, Gerente de Producto del Equipo de Investigación de Amenazas de Qualys

Los investigadores de Qualys han encontrado y divulgado otros graves errores de seguridad en Linux en los últimos años, incluyendo una vulnerabilidad en el componente pkexec de Polkit (apodada PwnKit), una en la capa del sistema de archivos del Kernel (apodada Sequoia), y otra en el programa Unix Sudo (también conocida como Baron Samedit).

Más información:

• https://access.redhat.com/security/cve/cve-2023-4911
• https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-local-privilege-escalation-in-the-glibcs-ld-so#potential-impact-of-looney-tunables
• https://haxx.in/files/gnu-acme.py

La entrada Exploits de Looney Tunables permite obtener privilegios de root en las distribuciones Linux más famosas se publicó primero en Una al Día.