Lỗ hổng Linux Nimbuspwn cho phép kẻ tấn công triển khai đe dọa tinh vi
An toàn thông tin - Ngày đăng : 20:52, 29/04/2022
Nhóm nghiên cứu Microsoft 365 Defender đã phát hiện ra hai lỗ hổng leo thang đặc quyền trong Linux có số hiệu là CVE-2022-29799 và CVE-2022-29800, được gọi tên là "Nimbuspwn", có thể bị kẻ tấn công khai thác để thực hiện các hoạt động độc hại khác nhau, bao gồm cả việc triển khai phần mềm độc hại.
Theo Microsoft, "Các lỗ hổng có thể móc nối với nhau để có được những đặc quyền gốc (root) trên các hệ thống Linux, cho phép những kẻ tấn công triển khai các payload (phần dữ liệu vận chuyển của một gói tin) như một root backdoor (cửa hậu truy nhập gốc) và thực hiện các hành động độc hại khác thông qua việc thực thi mã gốc tùy ý".
Những kẻ tấn công có thể khai thác các lỗ hổng này để chiếm quyền truy cập gốc vào các hệ thống mục tiêu và triển khai các mối đe dọa phức tạp hơn, chẳng hạn như ransomware.
Các lỗ hổng nằm trong thành phần hệ thống được gọi là networked-dispatcher (người điều phối mạng), là trình điều phối nguy hiểm để thay đổi trạng thái kết nối systemd-networkd.
Việc kiểm tra dòng lệnh của networkd-dispatcher đã phát hiện nhiều vấn đề về bảo mật, bao gồm các vấn đề về truyền tải thư mục, biểu tượng liên kết và điều kiện thời gian kiểm tra thời điểm sử dụng.
Các nhà nghiên cứu đã liệt kê những dịch vụ chạy root và lắng nghe thông báo trên Bus hệ thống, thực hiện cả những việc đánh giá mã và phân tích động và thấy rằng kẻ tấn công kiểm soát một dịch vụ D-Bus giả mạo có thể gửi một tín hiệu tùy ý, triển khai các cửa hậu trên các điểm mà chúng xâm phạm được.
Các nhà nghiên cứu đã có thể phát triển khai thác của riêng của mình bằng việc chạy một tập lệnh tùy ý như root. Việc khai thác cũng sao chép/bin/sh vào thư mục thiết lập là /tmp / sh khi thực thi Set-UID (SUID), và sau đó gọi "/ tmp / sh -p". (cờ "-p" là cần thiết để buộc môi trường chạy lệnh (shell) không từ bỏ các đặc quyền).
Để xử lý các lỗ hổng cụ thể đang diễn ra, các tính năng phản hồi và phát hiện điểm cuối (EDR) của Microsoft Defender đã phát hiện cuộc tấn công truyền tải thư mục sử dụng Nimbuspwn.
Các nhà nghiên cứu khuyến nghị người dùng networkd-dispatcher nên cập nhật những cài đặt của mình./.