Kernel do Linux anterior à versão 5.0.8 vulnerável à execução remota de código

As máquinas Linux que executam distribuições alimentadas por kernels anteriores à versão 5.0.8 são afetadas por uma vulnerabilidade de condição de corrida que leva a um uso depois da liberação, relacionada à limpeza do espaço de nomes, expondo sistemas vulneráveis ​​a ataques remotos.

Os atacantes em potencial podem explorar a falha de segurança encontrada na implementação TCP / IP rds_tcp_kill_sock do kernel Linux em net / rds / tcp.c para acionar estados de negação de serviço (DoS) e executar código remotamente em máquinas Linux vulneráveis.

Os ataques podem ser iniciados com a ajuda de pacotes TCP especialmente criados e enviados para caixas Linux vulneráveis, que podem acionar erros de uso após livre e permitir que os invasores executem código arbitrário no sistema de destino.

A vulnerabilidade explorável remotamente foi atribuída a uma pontuação básica de 8.1 de alta gravidade pelo NVD do NIST, sendo rastreada como  CVE-2019-11815  ( Red Hat , Ubuntu , SUSE e Debian ) e pode ser utilizada por atacantes não autenticados sem interação do do utilizador.

Métricas de impacto

Felizmente, como a complexidade do ataque é alta, a vulnerabilidade recebeu uma pontuação de 2,2 enquanto a pontuação de impacto é limitada a 5,9.

De acordo com  as métricas de impacto do CVSS 3.0, a falha CVE-2019-11815 é acompanhada de alto impacto de confidencialidade, integridade e disponibilidade, o que possibilita que invasores acessem todos os recursos, modifiquem arquivos e neguem acesso a recursos depois de explorar com sucesso a vulnerabilidade.

Conforme detalhado no banco de dados de falhas de segurança do software Common Weakness Enumeration (CWE), uma falha Use-After-Free é causada pela tentativa de referenciar a memória depois que ela já foi liberada, fazendo com que o software “falhe, use valores inesperados ou execute código.”

Os desenvolvedores do kernel Linux lançaram um patch para o problema CVE-2019-11815 durante o final de março e corrigiram a falha na versão 5.0.8 do kernel Linux lançada em 17 de abril.

Vulnerabilidades MiTM que levam à execução de código corrigida no APT 

No final de janeiro, uma falha de execução de código que impactava o gerenciador de pacotes de alto nível do APT usado pelo Debian, Ubuntu e outras distribuições Linux relacionadas também foi corrigida.

No momento, a vulnerabilidade foi descrita como “injeção de conteúdo no método http”, é rastreada como  CVE-2019-3462 e leva a ataques man-in-the-middle, uma vez explorados, tornando possível aos invasores usar mais tarde, para “execução de código com privilégios de root na máquina de destino”.

Um problema muito  semelhante  que poderia levar à execução de código arbitrário também foi descoberto pelo Jann Horn do Google Project Zero em dezembro de 2016, uma falha que foi corrigida nas versões 1.0.9.8.4 e 1.4 ~ beta2 do APT.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.