Các hệ thống Gnome Linux có nguy cơ bị tấn công RCE thông qua việc tải xuống tệp
Lỗ hổng hỏng bộ nhớ trong thư viện libcue mã nguồn mở có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống Linux hoạt động trong môi trường máy tính để bàn Gnome.
libcue, một thư viện được thiết kế để phân tích cú pháp các tệp bảng gợi ý, được tích hợp vào metadata indexer tệp Tracker Miners, được bao gồm theo mặc định trong các phiên bản Gnome mới nhất.
Các bảng gợi ý (hoặc tệp CUE) là các tệp văn bản thuần túy chứa bố cục của các bản âm thanh trên CD, chẳng hạn như độ dài, tên bài hát và nhạc sĩ và cũng thường được ghép nối với định dạng tệp âm thanh FLAC.
GNOME là môi trường máy tính để bàn được sử dụng rộng rãi trên nhiều phiên bản Linux khác nhau như Debian, Ubuntu, Fedora, Red Hat Enterprise và SUSE Linux Enterprise.
Những kẻ tấn công có thể khai thác thành công lỗ hổng được đề cập (CVE-2023-43641) để thực thi mã độc bằng cách tận dụng Tracker Miners tự động lập chỉ mục tất cả các tệp đã tải xuống để cập nhật chỉ mục tìm kiếm trên các thiết bị Gnome Linux.
Kevin Backhouse, nhà nghiên cứu bảo mật của GitHub, người đã tìm ra lỗi cho biết: “Do cách những kẻ khai thác theo dõi sử dụng lỗ hổng này trong libcue đã trở thành RCE chỉ bằng một cú nhấp chuột. Nếu bạn sử dụng Gnome, vui lòng cập nhật ngay hôm nay”.
Để khai thác lỗ hổng này, người dùng mục tiêu phải tải xuống tệp .CUE được tạo độc hại, sau đó được lưu trữ trong thư mục ~/Downloads.
Lỗ hổng hỏng bộ nhớ được kích hoạt khi lập trình metadata indexer của Tracker Miners tự động phân tích tệp đã lưu thông qua quy trình trích xuất trình theo dõi.
Backhouse cho biết: “Nói ngắn gọn điều đó có nghĩa là kẻ tấn công chỉ cần vô tình nhấp vào một liên kết độc hại để khai thác CVE-2023-43641 và thực thi mã trên máy tính của bạn”.
Backhouse đã trình diễn một cách khai thác bằng chứng khái niệm và chia sẻ một video qua Twitter vào đầu ngày 9 tháng 10. Tuy nhiên, việc phát hành PoC sẽ bị hoãn lại để cung cấp thời gian cho tất cả người dùng Gnome cập nhật và bảo mật hệ thống của họ.
libcue RCE khai thác PoC (Kevin Backhouse)
Mặc dù việc khai thác PoC cần được điều chỉnh để hoạt động bình thường cho từng phiên bản Linux, nhưng nhà nghiên cứu cho biết ông đã tạo ra các khai thác nhắm mục tiêu vào nền tảng Ubuntu 23.04 và Fedora 38 hoạt động “rất đáng tin cậy”.
Backhouse cho biết: “Trong thử nghiệm của mình, tôi nhận thấy rằng PoC hoạt động rất đáng tin cậy khi chạy trên đúng phiên bản (và sẽ kích hoạt SIGSEGV khi chạy trên phiên bản sai).
"Tôi chưa tạo PoC cho bất kỳ phiên bản nào khác, nhưng tôi tin rằng tất cả các phiên bản chạy Gnome đều có khả năng bị khai thác."
Mặc dù việc khai thác thành công CVE-2023-43641 yêu cầu lừa nạn nhân tiềm năng tải xuống tệp .cue, quản trị viên nên vá hệ thống và giảm thiểu rủi ro do lỗ hổng bảo mật này gây ra vì nó cung cấp khả năng thực thi mã trên các thiết bị chạy phiên bản mới nhất của CVE-2023-43641. Các phiên bản Linux được sử dụng rộng rãi, bao gồm Debian, Fedora và Ubuntu.
Backhouse đã tìm thấy các lỗi bảo mật Linux nghiêm trọng khác trong những năm gần đây, bao gồm lỗi nâng cấp đặc quyền trong Trình quản lý hiển thị Gnome (gdm) và bỏ qua xác thực trong dịch vụ hệ thống xác thực polkit được cài đặt theo mặc định trên nhiều nền tảng Linux hiện đại.
Trong các tin tức liên quan, các khai thác PoC đã xuất hiện đối với lỗ hổng nghiêm trọng cao Looney Tunables trong trình tải động của Thư viện GNU C, được theo dõi là CVE-2023-4911, cho phép kẻ tấn công cục bộ giành được quyền root trên các nền tảng Linux chính.
Nguồn: bleepingcomputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA