background-1900329_1280-1.jpg

Fundação Linux corrige bug no kernel de execução de código

Da Redação
07/11/2021

Pesquisadores de segurança alertam para uma falha de segurança recém-descoberta em um módulo do kernel que vem com todas as principais distribuições do Linux. Segundo eles, atacantes remotos podem explorar o bug para assumir o controle total de um sistema vulnerável.

A vulnerabilidade, referenciada como CVE-2021-43267, é descrita como um estouro de heap (estouro de buffer que ocorre na área de dados da heap) no módulo TIPC (Transparent Inter-Process Communication, módulo de processo comunicação interna transparente) que vem com o kernel do Linux para permitir que os nós em um cluster se comuniquem uns com os outros de maneira tolerante a falhas.

“A vulnerabilidade pode ser explorada local ou remotamente dentro de uma rede para obter privilégios de kernel, permitindo que um invasor comprometa todo o sistema”, de acordo com Max Van Amerongen, da startup de segurança cibernética SentinelOne, pesquisador de segurança que encontrou — e ajudou a corrigir — a vulnerabilidade.

Veja isso
Ransomware Hive criptografa sistemas Linux e FreeBSD
Linux desatualizado amplia superfície de ataque à nuvem

Van Amerongen revelou à SecurityWeek que descobriu o bug quase por acidente usando o CodeQL da Microsoft, um mecanismo de análise de código semântico de código aberto que ajuda a descobrir defeitos de segurança em escala. Ele disse que a falha foi introduzida no kernel do Linux em setembro de 2020, quando um novo tipo de mensagem de usuário chamado MSG_CRYPTO foi adicionado para permitir que os pares enviem chaves criptográficas. Olhando para o código, Van Amerongen encontrou um “estouro de buffer de heap de kernel bem definido” com implicações de exploit remoto.

Embora o módulo TIPC vulnerável venha com todas as principais distribuições do Linux, ele precisa ser carregado para habilitar o protocolo e acionar a vulnerabilidade.A Fundação Linux lançou um patch em 29 de outubro e confirmou que a vulnerabilidade afeta as versões do kernel de 5.10 a 5.15. A SentinelOne disse na quinta-feira, 4, que não registrou evidências de exploração da vulnerabilidade.

Compartilhar: