Lỗ hổng tồn tại hơn 10 năm có thể vô hiệu hóa quyền root trong Ubuntu Linux 

Năm lỗ hổng leo thang đặc quyền cục bộ (LPE) đã tồn tại trong hơn 10 năm qua, được phát hiện trong tiện ích needrestart của Ubuntu Linux. Lỗ hổng này cho phép tin tặc nâng cao đặc quyền lên quyền root mà không cần sự tương tác của người dùng.

Needrestart là một công cụ trên Linux, bao gồm cả Ubuntu Server, giúp xác định các dịch vụ cần khởi động lại sau khi cập nhật phần mềm, đảm bảo rằng các dịch vụ này sử dụng phiên bản mới nhất của thư viện.

Các lỗ hổng này, do Qualys phát hiện, bao gồm năm lỗ hổng leo thang đặc quyền cục bộ (LPE), đã được xác định với các mã CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 và CVE-2024-11003. Tất cả chúng đều liên quan đến tiện ích needrestart, được phát hành lần đầu vào năm 2014 và chỉ mới được vá trong bản cập nhật mới nhất (phiên bản 3.8).

CVE-2024-48990: Lỗi này xảy ra khi needrestart chạy bằng Python trong môi trường PYTHONPATH. Nếu kẻ tấn công kiểm soát biến này, họ có thể thực thi mã tùy ý với quyền root bằng cách cài đặt thư viện chia sẻ độc hại.

CVE-2024-48992: Trình Ruby trong needrestart có thể bị tấn công qua môi trường RUBYLIB, cho phép thực thi mã Ruby độc hại với quyền cao nhất (quyền root).

CVE-2024-48991: Một tình trạng race condition trong needrestart cho phép tin tặc thay thế tệp nhị phân Python đang được xác thực bằng tệp độc hại, từ đó chạy mã độc với quyền root.

CVE-2024-10224: ScanDeps của Perl trong needrestart không xử lý đúng tên tệp do kẻ tấn công tạo ra, cho phép thực thi shell commands khi mở tệp.

CVE-2024-11003: Needrestart phụ thuộc vào ScanDeps, dẫn đến việc sử dụng các hàm eval() không an toàn, có thể cho phép thực thi mã độc khi xử lý dữ liệu từ kẻ tấn công.

Mặc dù kẻ tấn công cần phải có quyền truy cập cục bộ vào hệ thống (thông qua phần mềm độc hại hoặc tài khoản bị xâm nhập), nhưng các lỗ hổng này vẫn rất nguy hiểm. Trong quá khứ, những lỗi tương tự đã bị lợi dụng để chiếm quyền root, vì vậy không nên xem nhẹ vấn đề này chỉ vì nó yêu cầu truy cập cục bộ.

Để bảo vệ hệ thống của mình, người dùng Ubuntu cần nâng cấp lên phiên bản needrestart 3.8 trở lên, bao gồm các bản vá bảo mật. Thêm vào đó, bạn có thể vô hiệu hóa tính năng quét trình thông dịch trong tệp needrestart.conf bằng cách thêm dòng sau:

# Disable interpreter scanners.

$nrconf{interpscan} = 0;

Điều này sẽ giúp ngăn ngừa việc thực thi các trình thông dịch có thể bị kẻ tấn công kiểm soát, bảo vệ hệ thống của bạn khỏi các cuộc tấn công tiềm ẩn.

Nguồn: bleeping computer