Pesquisa de site

Múltiplas vulnerabilidades encontradas na função Snap-confine em sistemas Linux


De acordo com a Qualys, uma das vulnerabilidades pode ser explorada para aumentar privilégios e obter privilégios de root.

Os pesquisadores de segurança da Qualys descobriram várias vulnerabilidades que afetam o pacote de software Snap da Canonical e o sistema de implantação.

Em uma postagem no blog, o diretor de pesquisa de vulnerabilidades e ameaças da Qualys, Bharat Jogi, explicou que encontraram múltiplas vulnerabilidades na função snap-confine nos sistemas operacionais Linux, “a mais importante das quais pode ser explorada para aumentar privilégios e obter privilégios de root”. "

Jogi acrescentou que o Snap foi desenvolvido pela Canonical para sistemas operacionais que usam o kernel Linux.

"Os pacotes chamados snaps, e a ferramenta para usá-los, snapd, funcionam em uma variedade de distribuições Linux e permitem que desenvolvedores de software upstream distribuam seus aplicativos diretamente aos usuários. Snaps são aplicativos independentes executados em uma sandbox com acesso mediado ao sistema host. Snap-confine é um programa usado internamente pelo snapd para construir o ambiente de execução para aplicativos snap", disse Jogi, observando que o problema principal era CVE-2021-44731.

"A exploração bem-sucedida desta vulnerabilidade permite que qualquer usuário sem privilégios obtenha privilégios de root no host vulnerável. Os pesquisadores de segurança da Qualys conseguiram verificar a vulnerabilidade de forma independente, desenvolver uma exploração e obter privilégios de root completos em instalações padrão do Ubuntu."

Depois de descobrir as vulnerabilidades e enviar um comunicado ao Ubuntu em outubro, a equipe de pesquisa da Qualys trabalhou com a Canonical, Red Hat e outros para resolver o problema.

Em comunicado à ZDNet, a editora Canonical do Ubuntu disse que durante todo o desenvolvimento da plataforma snap, eles tentaram garantir que os subsistemas dos quais ela depende fossem usados com segurança.

Eles observaram que, graças às atualizações automáticas, a maioria das instalações de plataformas distribuídas rapidamente no mundo já foram corrigidas por meio de atualizações.

Além do CVE-2021-44731, a Qualys descobriu outras seis vulnerabilidades. Eles forneceram uma análise detalhada de cada problema e pediram a todos os usuários que corrigissem o mais rápido possível.

"Infelizmente, uma plataforma de confinamento tão moderna envolve muitos subsistemas e às vezes cometemos erros. Felizmente, a Canonical e o Ubuntu fazem parte de uma grande comunidade que inclui pesquisadores de segurança competentes. Recentemente, a Qualys nos informou que uma das ferramentas que faz parte do snap platform contém um problema de segurança. Nas palavras deles: Descobrir e explorar uma vulnerabilidade no snap-confine tem sido extremamente desafiador (especialmente em uma instalação padrão do Ubuntu), porque o snap-confine usa um estilo de programação muito defensivo, perfis AppArmor, filtros seccomp, montar namespaces e dois programas auxiliares Go", disse um porta-voz da Canonical.

"Como sempre, estamos gratos à grande comunidade da qual fazemos parte, por encontrar e divulgar tais problemas de segurança de forma responsável. Também somos gratos aos profissionais de nossas equipes de segurança e plataforma snap que agiram rapidamente para mitigar a vulnerabilidade e aos profissionais em outras organizações que trabalharam oportunamente nas respectivas questões divulgadas. Atualizações para outros sistemas de empacotamento também estão disponíveis e sendo lançadas."

Não há mitigações para CVE-2021-44731, e Jogi observou que, embora a vulnerabilidade não seja explorável remotamente, um invasor pode fazer login como qualquer usuário sem privilégios. A vulnerabilidade pode ser explorada rapidamente para obter privilégios de root.

O engenheiro da Vulcan Cyber, Mike Parkin, disse que o Snap se tornou razoavelmente difundido no mundo Linux, com vários fornecedores importantes distribuindo pacotes usando-o.

Embora qualquer exploração que possa fornecer acesso root seja problemática, ser uma exploração local reduz um pouco o risco; Parkin acrescentou que corrigir sistemas vulneráveis deveria ser uma prioridade.

“Isso é muito difundido e também muito perigoso, visto que permite que um cibercriminoso aumente seus privilégios para obter acesso root. Com essa ameaça de acesso, os atores podem distribuir malware, plantar deepfakes, mover-se lateralmente dentro de redes corporativas e muitas outras formas de sendo comprometido", disse o CEO da Viakoo, Bud Broomhead.

"O Linux é amplamente utilizado como sistema operacional incorporado para dispositivos IoT, que normalmente existem de 5 a 10 vezes mais do que os dispositivos de TI tradicionais em uma organização. Atualmente, não há mitigação para esta vulnerabilidade, mas provavelmente permanecerá explorável por algum tempo quando um estiver disponível. Ao contrário dos sistemas de TI, os dispositivos IoT muitas vezes carecem de métodos automatizados para corrigir vulnerabilidades, dando o potencial para que essa vulnerabilidade esteja presente por um longo tempo."

Artigos relacionados