CVE-2023-4911: La vulnerabilidad Looney Tunables en GlibC está siendo activamente explotada

El pasado 3 de octubre el equipo de Qualys publicó información acerca de una vulnerabilidad de criticidad alta para escalada local de privilegios en la librería C de GNU, normalmente llamada glibc, y usada ampliamente en sistemas Linux. Esta vulnerabilidad (CVE-2023-4911) permitiría a un atacante local ganar privilegios de root.

Hace solo dos días, esta vulnerabilidad ha salido reportada como activamente explotada por CISA, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos.

La librería C de GNU define las llamadas al sistema y otras funcionalidades básicas que requieren todos los programas que usan este lenguaje. La mayoría de las distribuciones de Linux actuales hacen uso de esta librería para compilar sus paquetes de software.

Características principales de la CVE-2023-4911

A continuación, se detallan las características principales de esta vulnerabilidad:

• Identificador CVE: CVE-2023-4911.
• Fecha de publicación: 03/10/2023.
• Software Afectado: glibc.
• CVSS Score: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8 Alta).
• Versiones afectadas: Distribuciones GNU Linux que usan una versión de la librería igual o posterior a 2.34 (desde abril de 2021) y previas a 2.37-r7 en su paquete glibc.
  • Amazon Linux 2023 – Versiones previas a 2023.2.20231002.
  • Debian bookworm – Versiones previas a 2.36-9+deb12u3.
  • Debian bullseye – Versiones previas a 2.31-13+deb11u7.
  • Ubuntu 22.04 – Versiones previas a 2.35-0ubuntu3.4.
  • Ubuntu 23.04 – Versiones previas a 2.37-0ubuntu2.1.
  • Fedora 37 – Versiones previas a glibc-2.36-14.fc37.
  • Fedora 38 – Versiones previas a glibc-2.37-10.fc38.
  • Gentoo – Versiones previas a sys-libs/glibc 2.37-r7.
• Todas las distribuciones de Linux fuera de soporte podrían estar también afectadas.
• Requisitos de explotación:
  • Ejecución de código con privilegios limitados en el sistema vulnerable.

Mitigación de la CVE-2023-4911

La solución principal consiste en actualizar urgentemente el paquete glibc a las nuevas versiones disponibles que corrigen esta vulnerabilidad para cada distribución.

Es conveniente recalcar que, para que esta actualización se aplique de forma completa, es necesario reiniciar el sistema operativo. De esta forma, se asegura que todos los procesos hacen uso de la liberaría actualizada.

Detección de la vulnerabilidad

La mejor forma de identificar esta vulnerabilidad CVE-2023-4911 es en función de las versiones del paquete de glibc.

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic Security monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.

Referencias;

• https://www.cisa.gov/news-events/alerts/2023/11/21/cisa-adds-one-known-exploited-vulnerability-catalog
• https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-local-privilege-escalation-in-the-glibcs-ld-so
• https://nvd.nist.gov/vuln/detail/CVE-2023-4911
• https://github.com/hadrian3689/looney-tunables-CVE-2023-4911