ClickCease CVE-2023-4911 Looney Tunables - E-Eso No Es Todo, Amigos

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

CVE-2023-4911 Looney Tunables - E-Eso No Es Todo, Amigos

Joao Correia

16 de octubre de 2023 - Evangelista técnico

Vulnerabilidad: Desbordamiento de búfer en el análisis de glibc de la variable de entorno GLIBC_TUNABLES

CVE ID: CVE-2023-4911

Puntuación CVSS: 7,8

El estado de soporte del ciclo de vida extendido de TuxCare se puede encontrar en el TuxCare CVE tracker aquí.

En lo que viene a ser un entorno de ciberseguridad muy interesante después de los meses de verano, han surgido varias vulnerabilidades dignas de mención. Siguiendo con la (mala) tendencia de nombrar las vulnerabilidades, ahora tenemos " Looney Tunables ," que afecta a la variable de entorno "GLIBC_TUNABLES" de glibc. Permite la elevación local de privilegios, y es trivialmente explotable con código de explotación en la naturaleza.

 

Descifrando "Looney Tunables"

 

La vulnerabilidad "Looney Tunables" reside específicamente en el cargador dinámico ld.so de glibc, una biblioteca central que forma parte integral de los sistemas basados en Linux, proporcionando funcionalidades fundamentales como abrir, leer, escribir, y más. Este fallo, descubierto y divulgado por empresa de ciberseguridad Qualystiene que ver con un desbordamiento de búfer en el procesamiento de la variable de entorno GLIBC_TUNABLES, y se introdujo involuntariamente en un commit de código en abril de 2021.

 

La variable de entorno GLIBC_TUNABLES, diseñada para optimizar las aplicaciones enlazadas con glibc, es una herramienta para desarrolladores y administradores de sistemas, que garantiza el ajuste fino y la optimización de las aplicaciones enlazadas con glibc. Sin embargo, la explotación de esta variable puede tener un impacto perjudicial en el rendimiento, la fiabilidad y la seguridad del sistema.

 

Distribuciones de riesgo

 

Una multitud de distribuciones principales de Linux, incluyendo pero no limitado a RHEL 8 y 9, Ubuntu 22.04 y 23.04, y Debian 12 y 13, han sido identificados como susceptibles a esta vulnerabilidad. Aunque todavía se está desvelando la lista completa de distribuciones afectadas, una excepción notable es Alpine Linux, que utiliza la biblioteca musl libc en lugar de glibc, lo que la hace inmune a este fallo específico.

 

Impacto y riesgos potenciales

 

La explotación de "Looney Tunables" podría permitir a los actores de amenazas ejecutar código controlado por el atacante, aprovechando la variable de entorno GLIBC_TUNABLES para obtener potencialmente privilegios de root. Esto, a su vez, podría conducir a múltiples resultados, desde el acceso no autorizado a los datos y su manipulación hasta el despliegue de otras actividades maliciosas dentro del sistema comprometido. Dada la ubicuidad de las distribuciones implicadas, la escala del impacto potencial es significativamente amplia y alarmante.

 

Mitigación y respuesta a la amenaza

 

En respuesta a la identificación de esta vulnerabilidad, varias distribuciones de Linux han publicado avisos y recomendaciones de mitigación. Red Hat ha publicado un aviso que proporciona una medida de mitigación temporal. Cuando se activa, esta mitigación termina cualquier programa setuid invocado con GLIBC_TUNABLES en el entorno, sirviendo como un escudo provisional contra la explotación. Por supuesto, esto tiene el inconveniente de interferir con usos legítimos de programas setuid lanzados a través de este método.

 

En el caso de los sistemas con acceso de usuario local, no se puede exagerar la urgencia de parchear la vulnerabilidad identificada. Se aconseja a los administradores de sistemas y a los profesionales de TI que apliquen rápidamente los parches y actualizaciones disponibles y que empleen las estrategias de mitigación recomendadas para salvaguardar los sistemas frente a una posible explotación. 

 

Para los sistemas que no permiten el acceso interactivo del usuario directamente, todavía se recomienda encarecidamente parchear, ya que la vulnerabilidad puede ser aprovechada como parte de una cadena de exploits y puede proporcionar una ruta de acceso root en el sistema, incluso cuando el vector inicial es una vulnerabilidad diferente a Looney Tunables.

 

Nota final sobre la denominación de las vulnerabilidades

 

Asignar nombres a vulnerabilidades específicas es una forma de llamar la atención, y enfatizar artificialmente la atención mediática dedicada a esas vulnerabilidades, pero eso se hace a expensas de la atención desviada de otras vulnerabilidades sin nombre, con igual riesgo y exposición que pueden "caer a través de las grietas" y permanecer sin parchear. Se trata de una grave preocupación que puede tener importantes implicaciones para la seguridad.

 

Se anima a los equipos informáticos a mirar más allá de los nombres y logotipos graciosos, y a adoptar un enfoque más global de la aplicación de parches, en el que el factor menos importante debería ser el nombre de una vulnerabilidad. De hecho, en caso de duda, parchee todo. Si la tarea le parece desalentadora, póngase en contacto con nosotros y descubra cómo herramientas como KernelCare Enterprise y Soporte de ciclo de vida ampliado pueden ayudarle a conseguir esta cobertura con un esfuerzo y una asignación de recursos mínimos.

 

Resumen
CVE-2023-4911 Looney Tunables - E-Eso No Es Todo, Amigos
Nombre del artículo
CVE-2023-4911 Looney Tunables - E-Eso No Es Todo, Amigos
Descripción
La CVE-2023-4911, " Looney Tunables "afecta a la variable de entorno "GLIBC_TUNABLES" de glibc. Más información sobre esta nueva CVE
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín