Categories: Open SourceSoftware

Sicherheitslücke im Linux-Netzwerk gefunden

Nichts ist so ärgerlich wie eine Sicherheitslücke in einem Sicherheitsprogramm. Xiaochen Zou, Doktorand an der University of California, Riverside, hat den Fehler in Linux entdeckt. Diese Sicherheitslücke, CVE-2022-27666, im IPSec-Kryptomodul esp6 (Encapsulating Security Payload) kann zur lokalen Privilegienerweiterung missbraucht werden.

Das Problem ist ein einfaches Heap-Overflow-Loch. Xiaochen erklärte, dass „die grundlegende Logik dieser Schwachstelle darin besteht, dass der Empfangspuffer einer Benutzernachricht im esp6-Modul ein 8-Seiten-Puffer ist, der Absender aber eine Nachricht senden kann, die größer als 8 Seiten ist, was eindeutig einen Pufferüberlauf verursacht.“

Wie Red Hat in seinem Sicherheitshinweis zu diesem Fehler schreibt: „Dieser Fehler ermöglicht es einem lokalen Angreifer mit normalen Benutzerrechten, Kernel-Heap-Objekte zu überschreiben und kann zu einer lokalen Privilegienerweiterung führen.“

Sowohl Red Hat als auch das National Institute of Standards and Technologies (NIST) haben die Lücke mit einem hohen CVSS-Wert (Common Vulnerability Scoring System) von 7,8 bewertet.

Red Hat wies auch darauf hin, dass, wenn ein Linux-System bereits IPsec verwendet und IPSec Security Associations (SA) konfiguriert hat, keine zusätzlichen Privilegien erforderlich sind, um die Lücke auszunutzen. Das bedeutet, dass so gut wie jeder, der den anfälligen Code in seiner Linux-Distribution hat, für Angriffe offen ist.

Xiaochen hat festgestellt, dass die neuesten Ubuntu-, Fedora- und Debian-Linux-Distributionen damit gehackt werden können. Red Hat berichtet, dass Red Hat Enterprise Linux (RHEL) 8 anfällig ist. Insbesondere wenn Ihr Linux ein esp6-Kryptomodul aus dem Jahr 2017 enthält, das die Commits cac2661c53f3 und 03e2a30f6a27 enthält, ist es angreifbar.

Normalerweise kann ein solcher Angriff ein Linux-System außer Gefecht setzen. Xiaochen ging der Sache auf den Grund und fand noch mehr. Bei seiner Suche fand er einen Weg, die Kernel Address-space Layout Randomization (KASLR) zu umgehen. Wie der Name schon sagt, erschwert KASLR die Ausnutzung von Speicherschwachstellen, indem Prozesse an zufälligen statt an festen Speicheradressen platziert werden.

Nachdem der Prozess angehalten wurde, kann ein Angreifer mithilfe von FUSE (Filesystem in User Space) sein eigenes Dateisystem erstellen und ihm Speicher zuweisen. Folglich werden alle Lese- und Schreibvorgänge in diesem Speicher von seinem eigenen Dateisystem verarbeitet. Sobald dies geschehen ist, ist es relativ trivial, Root-Zugriff in das System zu bekommen. Sobald der Angreifer Root-Zugriff hat, kann er die Kontrolle über den Computer übernehmen.

Die gute Nachricht ist, dass der Fix jetzt für Ubuntu, Debian, den Linux-Kernel und die meisten anderen Distributionen verfügbar ist.

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

2 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

3 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

3 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

3 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago