Seit 10 Jahren vorhanden: Fünf Lücken verleihen Root-Rechte unter Linux
Sicherheitsforscher von Qualys haben insgesamt fünf Schwachstellen in einem Tool namens Needrestart(öffnet im neuen Fenster) entdeckt, mit denen sich Angreifer auf Linux-Systemen Root-Rechte verschaffen können. Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) erklären, sind alle fünf Sicherheitslücken schon seit der im April 2014 veröffentlichten Version 0.8 in der Software enthalten - und damit seit über zehn Jahren.
Bei Needrestart handelt es sich um ein Tool, das beispielsweise nach der Aktualisierung oder Entfernung von Softwarepaketen feststellt, ob bestimmte Dienste neu gestartet werden müssen. Damit wird sichergestellt, dass diese Dienste stets die neuesten verfügbaren Bibliotheken verwenden, ohne dass ein Reboot des gesamten Systems erfolgen muss.
Unter Ubuntu Server ist Needrestart seit Version 21.04 vorinstalliert, was für sich genommen insbesondere auf Server-Systemen zu einer starken Verbreitung dieser Software führt. Das Tool kann aber ebenso auf anderen Linux-Systemen zum Einsatz kommen.
Fünf Lücken für Root
Die von Qualys entdeckten Sicherheitslücken sind als CVE-2024-48990(öffnet im neuen Fenster) , CVE-2024-48991(öffnet im neuen Fenster) , CVE-2024-48992(öffnet im neuen Fenster) , CVE-2024-10224(öffnet im neuen Fenster) und CVE-2024-11003(öffnet im neuen Fenster) registriert - vier davon mit hohem Schweregrad, eine mit einem mittleren. Die Lücken ermöglichen eine Privilegienerweiterung (LPE) und verschaffen Angreifern Root-Zugriff. Weitere Details dazu haben die Forscher in einer separaten Textdatei(öffnet im neuen Fenster) veröffentlicht.
Angreifer können demnach beispielsweise bestimmte von Needrestart verwendete Umgebungsvariablen manipulieren, um über den Python- oder Ruby-Interpreter zur Schadcodeausführung zu gelangen. Eine der Lücken setzt zudem auf eine Race-Condition, durch die das Tool dazu gebracht werden kann, einen vom Angreifer kontrollierten Fake-Python-Interpreter auszuführen. Zwei Lücken beziehen sich auf das Scandeps-Modul(öffnet im neuen Fenster) , das Perl-Code auf Abhängigkeiten überprüft.
Patch und Workaround verfügbar
Damit die Lücken ausgenutzt werden können, benötigt ein Angreifer vorab bereits lokalen Zugriff auf das Zielsystem. Erlangt werden kann ein solcher beispielsweise durch das Einschleusen einer Linux-Malware durch Austricksen eines Anwenders oder die Ausnutzung einer Sicherheitslücke .
Laut Qualys wurden die Sicherheitslücken mit der am 19. November veröffentlichten Needrestart-Version 3.8(öffnet im neuen Fenster) gepatcht. Administratoren sollten das Tool möglichst zeitnah aktualisieren, um möglichen Angriffen vorzubeugen.
Alternativ kann nach Angaben der Forscher aber auch die Interpreter-Heuristik der Software deaktiviert werden, indem in der Konfigurationsdatei von Needrestart (in der Regel unter /etc/needrestart/needrestart.conf) eine Zeile mit dem Inhalt "$nrconf{interpscan} = 0;" eingetragen wird.