Um pesquisador de segurança cibernética do Google Project Zero divulgou detalhes e uma PoC (Prova de Conceito) para uma vulnerabilidade de alta criticidade existente no kernel do Linux, que vai desde a versão 3.16 até a 4.18.8.
Descoberto pelo white hat Jann Horn, a vulnerabilidade do kernel (CVE-2018-17182) é um bug de invalidação de cache no subsistema de gerenciamento de memória do Linux, que leva a uma vulnerabilidade de uso após estar livre (UAF / user-after-free), que se explorada poderia permitir que um invasor ganhe acesso root no sistema alvo.
Vulnerabilidades UAF são categorias de bugs de corrupção de memória que podem ser exploradas por usuários sem privilégios para corromper ou alterar dados na memória, permitindo que causem uma negação de serviço ou escalem privilégios para obter acesso em um sistema.
O exploit do kernel do Linux leva cerca de uma hora para ganhar acesso root
Horn diz que a PoC para o kernel do Linux disponibilizada ao público, “leva cerca de uma hora para ser executada antes de abrir um shell de root no sistema alvo.
O pesquisador reportou a vulnerabilidade aos mantenedores do kernel do Linux no dia 12 de setembro. A equipe do kernel corrigiu o problema em sua árvore de desenvolvimento num prazo de dois dias, o que Horn disse ser “excepcionalmente rápido, se comparado com os tempos de correção de outros fornecedores de sofware”.
Esta vulnerabilidade no kernel foi divulgada na lista de discussão oss-security no dia 18 de setembro e foi corrigida no kernel upstream estável, nas versões 4.18.9, 4.14.71, 4.9.128 e 4.4.157 no dia seguinte.
Há também uma correção para a versão 3.16.58.
Debian e Ubuntu Linux deixaram seus usuários vulneráveis por mais de uma semana
“No entanto, uma correção realizada em um kernel upstream não significa que automaticamente os sistemas estarão realmente corrigidos”, observou.
O pesquisador ficou desapontado, sabendo que algumas das principais distribuições Linux, incluindo Debian e Ubuntu, deixaram seus usuários expostos a possíveis ataques ao não disponibilizarem atualizações do kernel por mais de uma semana, quando a correção já havia sido liberada.
Na quarta-feira, 26/09, tanto a versão estável do Debian quanto as versões 16.04 e 18.04 do Ubuntu, não haviam recebido a correção para a vulnerabilidade.
O projeto Fedora já liberou um patch de segurança para seus usuários no dia 22 de setembro.
“A versão estável do Debian possui um kernel baseado na versão 4.9, mas contando a partir da data em que o projeto Fedora liberou um patch de segurança, este kernel foi atualizado pela última vez no dia 21/08/2018. Da mesma forma, o Ubuntu 16.04 traz um kernel que atualizado pela última vez em 27/08/2018”, observou Horn.
Horn diz em seu post o seguinte:
O Android só envia atualizações de segurança uma vez por mês. Portanto, quando um patch de segurança está disponível em um kernel estável, ainda pode levar semanas até que a correção esteja realmente disponível para os usuários, especialmente se o impacto na segurança não for anunciado publicamente.
Em resposta ao post no blog de Horn, os mantenedores do Ubuntu informaram que possivelmente liberarão os patches para a falha no kernel do Linux por volta do dia 2 de outubro de 2018.
Horn disse que uma vez que o patch esteja implementado no kernel upstream, a vulnerabilidade e o patch se tornam públicos, o que, nesse caso, poderia permitir que usuários mal intencionados desenvolvessem uma exploit do kernel do Linux para direcionar os usuários.
Fonte: The Hacker News