ช่องโหว่ Linux ใหม่ที่รู้จักกันในชื่อ ‘Looney Tunables’ ช่วยให้ผู้ไม่ประสงค์ดี สามารถรับสิทธิ์ root โดยใช้ประโยชน์จาก Buffer Overflow ในตัวโหลดไดนามิก ld.so ของ GNU C Library ที่เป็นไลบรารี C ของระบบ GNU และอยู่ในระบบที่ใช้เคอร์เนล Linux ส่วนใหญ่ โดยมีฟังก์ชันการทำงานที่จำเป็น รวมถึงการเรียกของระบบ เช่น Open, Malloc, Printf, Exit และอื่นๆ ที่จำเป็นสำหรับการทำงานของโปรแกรมทั่วไป
ตัวโหลดไดนามิกภายใน glibc มีความสำคัญสูงสุด
เนื่องจากมีหน้าที่ในการเตรียมโปรแกรมและดำเนินการบนระบบ Linux ที่ใช้ glibc
หน่วยวิจัยภัยคุกคาม Qualys พบช่องโหว่ CVE-2023-4911 ที่เปิดตัวในเดือนเมษายน 2021 ผ่านการเผยแพร่ใน glibc เวอร์ชัน 2.34 ผ่านคำสั่งที่ถูกอธิบายว่าแก้ไขความปรับตัวของ SXID_ERASE ในโปรแกรม setuid การใช้ช่องโหว่นี้เป็นการประสบความสำเร็จที่ทำให้ได้สิทธิ์ root ที่เต็มรูปแบบ บนการกระจายหลักๆ เช่น Fedora, Ubuntu, และ Debian ซึ่งเน้นย้ำถึงความรุนแรงและลักษณะที่แพร่หลายของช่องโหว่นี้ และสิ่งนี้อาจทำให้ระบบนับไม่ถ้วนตกอยู่ในความเสี่ยง โดยเฉพาะอย่างยิ่งเมื่อมีการใช้งาน glibc อย่างกว้างขวางบน Linux distributions
ช่องโหว่นี้เกิดขึ้นเมื่อประมวลผลตัวแปรสภาพแวดล้อม GLIBC_TUNABLES บนการติดตั้งเริ่มต้นของ Debian 12 และ 13, Ubuntu 22.04 และ 23.04 และ Fedora 37 และ 38 (Alpine Linux ซึ่งใช้ musl libc ไม่ได้รับผลกระทบ)
Red Hat เผยว่า พบ Buffer Overflow ในตัวโหลดเดอร์แบบไดนามิกของ GNU C ld.so ในขณะที่ประมวลผลตัวแปรสภาพแวดล้อม GLIBC_TUNABLES ปัญหานี้อาจอนุญาตให้ผู้ไม่ประสงค์ดีในระบบ (local attacker) ใช้ตัวแปรสภาพแวดล้อม GLIBC_TUNABLES ที่ออกแบบมาเพื่อประสงค์ร้าย เมื่อเปิดโปรแกรมด้วยสิทธิ์ SUID ในการประมวลผลโค้ดด้วยสิทธิ์ที่สูงขึ้น ผู้ไม่ประสงค์ดีที่มีสิทธิ์ต่ำสามารถใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงสูงได้ในการโจมตีที่มีความซับซ้อนต่ำซึ่งไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้
คำแนะนำ
- ผู้ดูแลระบบควรทำการอัปเดตแพตช์ความปลอดภัยระบบ Linux ที่ใช้งานอยู่ทันที
- สามารถบรรเทาความรุนแรงของการโจมตีได้โดยใช้สคริปต์ SystemTap
- ควรเปิดใช้งานคุณสมบัติ Secure Boot
Ref: https://www.bleepingcomputer.com/news/security/new-bunnyloader-threat-emerges-as-a-feature-rich-malware-as-a-service/