Looney Tunables n’est pas une affaire de rire. Cette vulnérabilité Linux présente des risques importants pour de nombreuses distributions Linux.
Mardi, la Qualys Threat Research Unit (TRU) a révélé une menace potentiellement dommageable pour les systèmes Linux exécutés dans le chargeur dynamique de la bibliothèque GNU C. Cette bibliothèque de codes, communément appelée glibc, est répandue dans la plupart des systèmes Linux, a averti Saeed Abbasi, responsable de la recherche sur les vulnérabilités et les menaces chez Qualys, sur le blog de sécurité communautaire de l’entreprise.
Le chargeur dynamique de la bibliothèque GNU C est un composant crucial de la glibc responsable de la préparation et de l’exécution des programmes. Selon Abbasi, le chargeur est très sensible à la sécurité, car son code s’exécute avec des privilèges élevés lorsqu’un utilisateur local lance un programme set-user-ID ou set-group-ID.
« La vulnérabilité Looney Tunables (CVE-2023-4911) dans la bibliothèque GNU C (glibc) constitue une menace importante en raison de son omniprésence dans les environnements Linux, affectant potentiellement des millions de systèmes, en particulier ceux exécutant des versions vulnérables de la glibc sur Fedora, Ubuntu et Debian », a-t-il déclaré à LinuxInsider.
Le Qualys TRU conseille aux équipes de sécurité de donner la priorité à la correction immédiate de ce problème, a exhorté Abbasi.
Ce qui est en jeu
Un problème majeur avec Looney Tunables est le débordement de tampon qu’il déclenche dans la gestion par le chargeur dynamique de la variable d’environnement GLIBC_TUNABLES. Cela conduit à des privilèges root complets sur les principales distributions Linux.
Les rédacteurs de code ont introduit la glibc pour permettre aux utilisateurs de modifier le comportement de la bibliothèque au moment de l’exécution. L’objectif était d’éliminer le besoin de recompiler l’application ou la bibliothèque à des fins d’installation.
Abbasi a expliqué qu’un exploit réussi pourrait permettre aux attaquants d’obtenir les privilèges root, permettant un accès, une modification ou une suppression non autorisés aux données et potentiellement d’exploiter d’autres attaques en augmentant les privilèges. Ce débordement de tampon est facilement exploitable et l’exécution de code arbitraire constitue une menace réelle et tangible.
« Par conséquent, malgré les défis associés, les attaquants déterminés ciblant des entités spécifiques pourraient considérer l’exploitation de cette vulnérabilité comme une entreprise viable », a ajouté Abbasi.
La menace pour la sécurité ne s’arrête pas là. Le potentiel de vol de données et de modifications non autorisées, ainsi que le potentiel d’attaques qui en résultent, sont réels. Il est également possible que des acteurs malveillants intègrent cette vulnérabilité dans des outils automatisés, des vers ou d’autres logiciels malveillants.
Aggravation des inquiétudes
Les appareils les plus vulnérables à cette vulnérabilité glibc sont les appareils IoT en raison de leur utilisation intensive du noyau Linux dans les systèmes d’exploitation personnalisés, selon John Gallagher, vice-président de Viakoo Labs chez Viakoo. Chaque fabricant d’appareils IoT a des calendriers différents pour produire des correctifs, ce qui rend la remédiation un long processus.
« Pour gérer efficacement ce problème, les organisations doivent disposer d’un inventaire détaillé de tous leurs actifs, informatiques, IoT et applications… Les organisations doivent également avoir une connaissance détaillée des applications liées à ces appareils et de toutes les dépendances d’application à appareil qui pourraient avoir un impact. corriger via des correctifs », a-t-il déclaré à LinuxInsider.
Le rôle fondamental de la Glibc dans de nombreuses distributions Linux amplifie considérablement l’urgence d’une mise à jour immédiate, a proposé Abbasi. Même en l’absence d’exploitation évidente dans la nature, les équipes de sécurité informatique doivent préparer de manière préventive des défenses pour contrer les enjeux élevés qui entrent en jeu une fois qu’elles sont exploitées.
« Compte tenu de la nature détaillée du chemin d’exploitation fourni, les organisations doivent agir avec la plus grande diligence pour protéger leurs systèmes et données d’une éventuelle compromission via cette vulnérabilité de la glibc », a-t-il insisté.
Options omniprésentes pour une vulnérabilité complexe
La vulnérabilité Looney Tunables est non seulement complexe, mais présente également un risque de gravité élevée en raison d’une éventuelle exploitation par un intrus, qui pourrait finir par être une élévation de privilèges très standard dans le cadre d’une attaque plus large, selon Andrew Barratt, responsable de la cybersécurité chez Coalfire.
« Bien que le modèle de ‘coque interne souple’ soit courant, il doit en fait être considéré comme une vulnérabilité amplificatrice de l’un des vecteurs d’accès initiaux et sert de rappel important pourquoi nous ne devrions pas simplement examiner les vulnérabilités de manière isolée », a déclaré Barratt. LinuxInsider.
« Il est essentiel que nous adoptions une vision plus informée des menaces et que nous examinions l’ensemble de la chaîne d’attaque », a-t-il ajouté.
L’utilisation généralisée de la vulnérabilité dans le système d’exploitation Linux signifie qu’elle dispose d’une variété de chemins pour amener un attaquant aux privilèges root, a ajouté John Bambenek, principal chasseur de menaces chez Netenrich, une société SaaS d’analyse de sécurité et d’opérations.
« Heureusement, cela nécessite un accès local ou, pour une raison quelconque, la possibilité pour un attaquant de modifier les variables environnementales à distance. Les équipes doivent corriger et planifier un redémarrage rapidement », a-t-il déclaré à LinuxInsider.