Um pesquisador de segurança cibernética do Google Project Zero divulgou os detalhes e uma exploração de prova de conceito (PoC) para uma vulnerabilidade de alta gravidade que existe no kernel do Linux desde a versão do kernel 3.16 até a versão 4.18.8.
Descoberto pelo hacker de chapéu branco Jann Horn, a vulnerabilidade do kernel (CVE-2018-17182) é um bug de invalidação de cache no subsistema de gerenciamento de memória do Linux que leva a uma vulnerabilidade de uso depois de livre, que se explorada poderia permitir que um invasor ganhasse privilégios de ROOT no sistema alvo.
As vulnerabilidades UAF (use-after-free) são uma classe de bug de corrupção de memória que pode ser explorada por usuários sem privilégios para corromper ou alterar dados na memória, permitindo que eles causem uma negação de serviço (falha no sistema) ou escalem privilégios para obter acesso em um sistema.
Exploração do Kernel Linux leva uma hora para obter acesso root
No entanto, Horn diz que sua exploração PoC Linux disponibilizada para o público “leva cerca de uma hora para ser executada antes de abrir um shell de root”.
Horn reportou responsavelmente a vulnerabilidade aos mantenedores do kernel Linux em 12 de setembro, e a equipe do Linux corrigiu o problema em sua árvore de desenvolvimento dentro de dois dias, o que Horn disse ser “excepcionalmente rápido, comparado aos tempos de correção de outros fornecedores de software”.
A vulnerabilidade do kernel do Linux foi divulgada na lista de discussão oss-security em 18 de setembro e foi corrigida no kernel estável suportado pelo upstream versões 4.18.9, 4.14.71, 4.9.128 e 4.4.157 no dia seguinte.
Há também uma correção na versão 3.16.58.
Debian e Ubuntu Linux deixaram seus usuários vulneráveis por mais de uma semana
“No entanto, uma correção no kernel do upstream não significa automaticamente que os sistemas dos usuários são realmente corrigidos”, observou Horn.
O pesquisador ficou desapontado, sabendo que algumas das principais distribuições do Linux, incluindo Debian e Ubuntu, deixaram seus usuários expostos a possíveis ataques ao não lançarem atualizações do kernel mais de uma semana depois que a vulnerabilidade foi divulgada.
Na quarta-feira, tanto o Debian estável quanto o Ubuntu, versões 16.04 e 18.04, não tinham corrigido a vulnerabilidade. No entanto, o projeto Fedora já lançou um patch de segurança para seus usuários em 22 de setembro.
“O Debian stable possui um kernel baseado em 4.9, mas a partir de 2018-09-26, este kernel foi atualizado pela última vez em 2018-08-21. Da mesma forma, o Ubuntu 16.04 traz um kernel que foi atualizado pela última vez em 2018-08-27,” observou Horn .
“O Android só envia atualizações de segurança uma vez por mês. Portanto, quando uma correção crítica de segurança está disponível em um kernel estável, ainda pode levar semanas até que a correção esteja realmente disponível para os usuários, especialmente se o impacto na segurança não for anunciado publicamente. “
Em resposta ao post no blog do Horn, os mantenedores do Ubuntu dizem que a empresa possivelmente lançaria os patches para a falha do kernel do Linux por volta de 1º de outubro de 2018.
Horn disse que uma vez que o patch é implantado no kernel upstream, a vulnerabilidade e o patch se tornam públicos, o que, nesse caso, poderia permitir que agentes maliciosos desenvolvessem uma exploração do kernel do Linux para direcionar os usuários.
Fonte: The Hacker News
