Lỗi tràn bộ đệm trong thư viện glibc
Glibc là thư viện C của hệ thống GNU và có trong hầu hết các hệ thống dựa trên nhân Linux. Nó cung cấp chức năng thiết yếu, bao gồm các lệnh gọi hệ thống như “open”, “malloc”, “printf”, “exit” và các chức năng khác, cần thiết để thực thi chương trình thông thường.
Trình tải động trong glibc vô cùng quan trọng vì nó chịu trách nhiệm chuẩn bị và thực thi chương trình trên các hệ thống Linux, bao gồm việc tìm kiếm các phần phụ thuộc đối tượng được chia sẻ cần thiết cũng như tải chúng vào bộ nhớ và liên kết chúng trong thời gian chạy.
Lỗi CVE-2023-4911 (điểm CVSS: 7,8) là lỗi tràn bộ đệm nằm trong quá trình xử lý biến môi trường “GLIBC_TUNABLES” của trình tải động trong glibc.
Biến môi trường GLIBC_TUNABLES được giới thiệu trong glibc để cung cấp cho người dùng khả năng sửa đổi hành vi của thư viện trong thời gian chạy, loại bỏ nhu cầu biên dịch lại ứng dụng hoặc thư viện. Bằng cách đặt GLIBC_TUNABLES, người dùng có thể điều chỉnh các tham số hoạt động và hiệu suất khác nhau, sau đó được áp dụng khi khởi động ứng dụng.
Sự hiện diện của lỗ hổng tràn bộ đệm trong quá trình xử lý biến môi trường GLIBC_TUNABLES của trình tải động gây ra rủi ro đáng kể cho nhiều bản phân phối Linux. Bởi biến môi trường này nhằm mục đích tinh chỉnh và tối ưu hóa các ứng dụng được liên kết với glibc, là một công cụ thiết yếu dành cho nhà phát triển và quản trị viên hệ thống. Việc lạm dụng hoặc khai thác nó ảnh hưởng rộng rãi đến hiệu suất, độ tin cậy và bảo mật của hệ thống.
Saeed Abbasi, Giám đốc sản phẩm tại Nhóm nghiên cứu mối đe dọa Qualys cho biết: “Việc khai thác thành công Looney Tunables cho phép các tác nhân đe dọa có đầy đủ đặc quyền root trên các bản phân phối lớn như Fedora, Ubuntu và Debian, cho thấy mức độ nghiêm trọng và tính chất phổ biến của lỗ hổng này”.
Đồng thời Abbasi cũng cho biết, mặc dù hiện tại Qualys đang giữ lại mã khai thác, nhưng với lỗi tràn bộ đệm cũng có thể dẫn đến việc nhiều nhóm tin tặc sớm tạo ra các mã khai thác mới. Điều này có thể khiến vô số hệ thống gặp rủi ro, đặc biệt là khi sử dụng rộng rãi glibc trên các bản phân phối Linux.
Lỗ hổng tồn tại trên các bản cài đặt mặc định của Debian 12 và 13, Ubuntu 22.04 và 23.04 cũng như Fedora 37 và 38 (tuy nhiên với bản phân phối Alpine Linux sử dụng thư viện musl libc sẽ không bị ảnh hưởng).
“Lỗi tràn bộ đệm có thể cho phép kẻ tấn công cục bộ sử dụng các biến môi trường GLIBC_TUNABLES được tạo độc hại khi khởi chạy các tệp nhị phân có quyền SUID để thực thi mã với các đặc quyền nâng cao”, Red Hat giải thích.
Những kẻ tấn công có đặc quyền thấp có thể khai thác lỗ hổng có mức độ nghiêm trọng cao này trong các cuộc tấn công có độ phức tạp thấp không yêu cầu sự tương tác của người dùng.
Ưu tiên vá lỗi
Abbasi nói thêm: “Với khả năng cung cấp quyền truy cập root đầy đủ trên các nền tảng phổ biến như Fedora, Ubuntu và Debian, quản trị viên hệ thống bắt buộc phải có những hành động nhanh chóng bằng cách ưu tiên vá lỗi để đảm bảo tính toàn vẹn và bảo mật của hệ thống”.
Trong những năm gần đây, các nhà nghiên cứu của Qualys đã phát hiện ra các lỗ hổng bảo mật Linux có mức độ nghiêm trọng cao khác cho phép kẻ tấn công giành được quyền root trong cấu hình mặc định của nhiều bản phân phối Linux.
Danh sách này bao gồm một lỗ hổng trong thành phần “pkexec” của Polkit (được đặt tên là “PwnKit”), một lỗ hổng khác trong lớp hệ thống tệp của Kernel (được đặt tên là “Sequoia”) và trong chương trình Sudo Unix (còn gọi là “Baron Samedit”).
Ngọc Ngân
10:00 | 05/10/2023
14:00 | 19/02/2024
13:00 | 20/09/2023
14:00 | 23/02/2024
09:00 | 06/06/2023
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
14:00 | 29/11/2023
Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024