Una falla de hace diez años en los paquetes del servidor Ubuntu permite a los atacantes obtener acceso root

Múltiples vulnerabilidades de elevación de privilegios locales (LPE) de hace una década descubiertas en el componente needrestart instalado de forma predeterminada en Ubuntu Server podrían permitir a un atacante local obtener acceso raíz.

needrestart es una utilidad que verifica su sistema para ver si es necesario reiniciarlo o si es necesario reiniciar alguno de los servicios del sistema.

needrestart está integrado con la imagen del servidor y está configurado para ejecutarse automáticamente después de actividades de APT como instalación, actualización o eliminación (incluidas las actualizaciones desatendidas).

A partir de la versión 21.04, el componente needrestart instalado de forma predeterminada en Ubuntu Server contiene una vulnerabilidad que afecta a una cantidad significativa de implementaciones en todo el mundo.

Maximizar el retorno de la inversión en ciberseguridad: consejos de expertos para líderes de PYME y MSP: asista al seminario web gratuito

Lo más probable es que este problema se deba a la compatibilidad con el intérprete en Needrestart versión 0.8, lanzada en abril de 2014.

Detalles de vulnerabilidad

La Unidad de Investigación de Amenazas (TRU) de Qualys descubrió las fallas, rastreadas como CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 y CVE-2024-11003, y rápidamente enfatizó la importancia de la restauración. Garantizar la integridad del sistema.

Una variable de entorno PYTHONPATH controlada por un atacante permite a un atacante local ejecutar código arbitrario como root engañando a needrestart para que inicie el intérprete de Python, una vulnerabilidad conocida como CVE-2024-48990 con una puntuación CVSS de 7,8.

La vulnerabilidad, identificada como CVE-2024-48991 con una puntuación CVSS de 7,8, permite a un atacante local engañar a Needrestart para que utilice su propio intérprete de Python falso en lugar del intérprete de Python real del sistema, lo que genera una condición de carrera que le permite ejecutar. código arbitrario como raíz.

La vulnerabilidad, identificada como CVE-2024-48992 (puntuación CVSS 7,8), permite a un atacante local iniciar el intérprete Ruby con una variable de entorno RUBYLIB controlada por el atacante induciendo a needrestart para iniciar el intérprete Ruby con una variable de entorno RUBYLIB controlada por el atacante. Puede ejecutar código arbitrario como root.

Las vulnerabilidades, identificadas como CVE-2024-11003 (puntuación CVSS: 7,8) y CVE-2024-10224 (puntuación CVSS: 5,3), permiten a atacantes locales ejecutar comandos de shell arbitrarios.

Estas fallas en la utilidad needrestart, que se usa frecuentemente como usuario raíz durante las instalaciones o actualizaciones de paquetes, permiten a los usuarios locales ejecutar código arbitrario y obtener mayores privilegios. “

Un atacante que aprovechara con éxito estas vulnerabilidades podría obtener acceso raíz y comprometer la integridad y seguridad del sistema. “

Esto plantea riesgos importantes para las empresas, incluido el acceso no autorizado a datos confidenciales, la instalación de malware y la interrupción de las operaciones comerciales. “

Versiones afectadas de neerestart y correcciones disponibles

Esta vulnerabilidad se encuentra en el componente needrestart, que se instala de forma predeterminada en Ubuntu Server a partir de la versión 21.04.

Este componente permite a atacantes locales ejecutar código arbitrario como root en versiones anteriores a la 3.8. Este problema afecta a las versiones de needrestart anteriores a la versión 3.8 y la versión 3.8 proporciona una solución.

Deshabilitar la heurística del intérprete en la configuración de reinicio necesario puede evitar este error.

El archivo de configuración de needrestart normalmente se encuentra en /etc/needrestart/needrestart.conf. Este archivo contiene varias opciones que controlan el comportamiento de la utilidad needrestart.

Esta actualización deshabilita la función de escaneo del intérprete. Por lo tanto, las empresas deberían mitigar rápidamente este riesgo eliminando funciones sensibles o actualizando el software.

¿Es miembro del equipo SOC/DFIR? Analice archivos y enlaces de malware con ANY.RUN -> Pruébelo gratis