Μια ευπάθεια ασφάλειας μνήμης στην ανοιχτού κώδικα βιβλιοθήκη libcue, μπορεί να επιτρέψει σε επιτιθέμενους να εκτελούν επιθέσεις RCE σε συστήματα Linux που εκτελούν το περιβάλλον επιφάνειας εργασίας GNOME.
Δείτε επίσης: Looney Tunables: Linux bug δίνει πρόσβαση διαχειριστή σε κύριες διανομές
Το libcue, μια βιβλιοθήκη σχεδιασμένη για την ανάλυση αρχείων cue sheet, ενσωματώνεται στον δείκτη μεταδεδομένων αρχείων Tracker Miners, ο οποίος περιλαμβάνεται από προεπιλογή στις πιο πρόσφατες εκδόσεις του GNOME.
Τα αρχεία CUE ή αρχεία CUE sheets είναι απλά αρχεία κειμένου που περιέχουν τη διάταξη των ηχητικών κομματιών σε ένα CD, όπως η διάρκεια, το όνομα του τραγουδιού και ο μουσικός, και συνήθως συνοδεύονται από τη μορφή αρχείου ήχου FLAC.
Το GNOME είναι ένα δημοφιλές περιβάλλον εργασίας που χρησιμοποιείται ευρέως σε διάφορες πλατφόρμες Linux distributions όπως οι Debian, Ubuntu, Fedora, Red Hat Enterprise, και SUSE Linux Enterprise.
Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν με επιτυχία την αδυναμία για να εκτελέσουν κακόβουλο κώδικα εκμεταλλευόμενοι το γεγονός ότι οι Tracker Miners αυτόματα ευρετηριάζουν όλα τα κατεβασμένα αρχεία για να ενημερώσουν το ευρετήριο αναζήτησης στις συσκευές GNOME Linux.
Για να εκμεταλλευτεί κάποιος αυτήν την ευπάθεια, πρέπει να κατεβάσει ένα αρχείο .CUE που έχει δημιουργηθεί κακόβουλα και στη συνέχεια να αποθηκευτεί στον φάκελο ~/Λήψεις. Η ευπάθεια μνήμης προκαλείται όταν ο δείκτης μεταδεδομένων του Tracker Miners αναλύει αυτόματα το αποθηκευμένο αρχείο μέσω της διαδικασίας tracker-extract.
Δείτε ακόμα: Ανακοίνωση της εταιρείας για το Free Download Manager site που διέσπειρε Linux malware
Ο ερευνητής Kevin Backhouse παρουσίασε ένα PoC και μοιράστηκε ένα βίντεο μέσω Twitter νωρίτερα. Ωστόσο, η δημοσίευση του PoC θα αναβληθεί ώστε όλοι οι χρήστες του GNOME να ενημερώσουν και να προστατεύσουν τα συστήματά τους. Παρόλο που η εκμετάλλευση PoC χρειάζεται να προσαρμοστεί για να λειτουργήσει σωστά σε κάθε διανομή Linux, ο ερευνητής ανέφερε ότι έχει ήδη δημιουργήσει εκμεταλλεύσεις που στοχεύουν τις πλατφόρμες Ubuntu 23.04 και Fedora 38 και λειτουργούν “με πολύ αξιόπιστο τρόπο”.
Παρόλο που η επιτυχής εκμετάλλευση του CVE-2023-43641 απαιτεί εξαπάτηση ενός πιθανού θύματος ώστε να κατεβάσει ένα αρχείο .cue, συνιστάται στους διαχειριστές να ενημερώσουν τα συστήματα τους και να αντιμετωπίσουν τους κινδύνους που προκαλεί αυτή η αδυναμία ασφαλείας, καθώς παρέχει εκτέλεση κώδικα σε συσκευές που εκτελούν τις πιο πρόσφατες εκδόσεις των δημοφιλών διανομών Linux, όπως Debian, Fedora και Ubuntu.
Ο Backhouse ανακάλυψε κι άλλα σοβαρά προβλήματα ασφάλειας στο Linux τα τελευταία χρόνια, συμπεριλαμβανομένων μιας ευπάθειας privilege escalation στο GNOME Display Manager (gdm) και μιας παράκαμψης ταυτοποίησης στην υπηρεσίαpolkit που εγκαθίσταται από προεπιλογή σε πολλές σύγχρονες πλατφόρμες Linux.
Δείτε επίσης: SprySOCKS: Νέο Linux backdoor χρησιμοποιείται σε κινεζικές εκστρατείες κατασκοπείας
Το RCE, γνωστό και ως Remote Code Execution, είναι μια τακτική κακόβουλης επίθεσης κατά την οποία ο επιτιθέμενος εκτελεί ενέργειες σε έναν υπολογιστή στόχο, καθοδηγούμενος από μια απομακρυσμένη τοποθεσία. Στην πράξη, ο επιτιθέμενος εκμεταλλεύεται μια ευπάθεια στο λογισμικό του θύματος για να παρακάμψει την ασφάλεια. Έπειτα, ο επιτιθέμενος μπορεί να καταχωρήσει εντολές για την εκτέλεση στον απομακρυσμένο υπολογιστή, με στόχο την παραβίαση της ασφαλείας και την πρόσβαση σε προσωπικά δεδομένα. Μια τέτοια επίθεση μπορεί να καταστήσει τα GNOMΕ Linux συστήματα ιδιαίτερα ευάλωτα.
Πώς μπορεί να προστατευτεί ένα GNOMΕ Linux σύστημα από RCE επιθέσεις;
Η πρωταρχική άμυνα κατά των RCE επιθέσεων είναι η τακτική ενημέρωση του λειτουργικού συστήματος και όλων των εφαρμογών που εκτελούνται εντός αυτού. Οι ενημερώσεις ασφαλείας συχνά περιέχουν διορθώσεις για γνωστές ευπάθειες που μπορούν να εκμεταλλευτούν οι επιτιθέμενοι. Επιπρόσθετα, οι χρήστες πρέπει να χρησιμοποιούν ισχυρούς και μοναδικούς κωδικούς πρόσβασης για όλους τους λογαριασμούς τους, καθώς και επαλήθευση διπλών παραγόντων όπου υπάρχει η δυνατότητα.
Είναι αξιοσημείωτο ότι η προστασία ενός λειτουργικού συστήματος από RCE επιθέσεις δεν είναι απλά μια ζήτηση την οποία πρέπει να επιλύσει ο χρήστης· είναι μία συνεχής διαδικασία. Απαιτείται τακτική παρακολούθηση του συστήματος, ενημέρωση και εξοικείωση με τις πιο πρόσφατες τεχνικές επίθεσης και αμυντικές στρατηγικές.
Πηγή: bleepingcomputer
