Drei Schwachstellen, die sich seit 2006 im Linux-Kernel befinden, könnten Angreifern Root-Rechte verschaffen

Cyber Security News

Eingang zum Hauptquartier von Red Hat. Die Linux-Kernel-Distributionen des Unternehmens scheinen besonders anfällig für die kürzlich entdeckten Schwachstellen zu sein. (Red Hat)

Drei kürzlich aufgedeckte Schwachstellen im Linux-Kernel, die sich im iSCSI-Modul befinden, das für den Zugriff auf gemeinsam genutzte Datenspeicher verwendet wird, könnten jedem mit einem Benutzerkonto Root-Rechte ermöglichen.

Das Trio der Schwachstellen – CVE-2021-27363, CVE-2021-27364 und CVE-2021-27365 – lauerte seit 2006 im Linux-Code, ohne entdeckt zu werden, bis die Forscher von GRIMM sie entdeckten.

“Wenn man bereits die Ausführung auf einem Rechner hat, entweder weil man ein Benutzerkonto auf dem Rechner hat oder weil man einen Dienst kompromittiert hat, der keine reparierten Berechtigungen hat, kann man im Grunde tun, was man will”, sagte Adam Nichols, Leiter der Software Security Practice bei GRIMM.

Während die Schwachstellen “sind in Code, der nicht aus der Ferne zugänglich ist, so ist dies nicht wie ein Remote-Exploit”, sagte Nichols, sie sind immer noch beunruhigend. Sie nehmen “jede bestehende Bedrohung, die da sein könnte. Das macht es nur noch viel schlimmer”, erklärte er. “Und wenn Sie Benutzer mit Root-Zugriff auf dem System haben, denen Sie nicht wirklich trauen, macht es diese auch kaputt.”

Bezug nehmend auf die Theorie, dass ‘viele Augen alle Bugs flach machen’, wird Linux-Code “nicht von vielen Augen gesehen, oder die Augen sehen ihn an und sagen, das scheint in Ordnung zu sein”, sagte Nichols. “Aber, [the bugs] sind da drin, seit der Code zum ersten Mal geschrieben wurde, und sie haben sich in den letzten 15 Jahren nicht wirklich verändert.”

Natürlich versuchen die GRIMM-Forscher, wenn sie können, “hineinzugraben” und zu sehen, wie lange die Schwachstellen schon existieren – ein machbareres Unterfangen mit Open Source.

Dass die Schwachstellen so lange unentdeckt blieben, hat viel mit der Ausbreitung des Linux-Kernels zu tun. Er “ist so groß geworden” und “es gibt so viel Code dort”, sagte Nichols. “Die wirkliche Strategie ist, so wenig Code wie möglich zu laden.”

Die Bugs sind in allen Linux-Distributionen, sagte Nichols, obwohl der Kernel-Treiber nicht standardmäßig geladen ist. Ob ein normaler Benutzer das verwundbare Kernelmodul laden kann, ist unterschiedlich. Auf allen Red-Hat-basierten Distros, die GRIMM getestet hat, können sie es zum Beispiel. “Auch wenn es nicht standardmäßig geladen ist, kann man es laden und dann kann man es natürlich ohne Probleme ausnutzen.”

Die Schwachstellen existieren dann auch in Debian-basierten Systemen, werden aber anders ausgenutzt. Genauer gesagt, wenn der Benutzer versucht, den Treiber zu laden, prüfen die Setup-Skripte, ob die iSCSI-Hardware vorhanden ist; wenn nicht, wird die Installation abgebrochen. Bei Red Hat wird der Treiber geladen, egal ob die Hardware vorhanden ist oder nicht, so Nichols.

Wenn die Hardware jedoch vorhanden ist, dann sind andere Systeme wie Debian und Ubuntu “im selben Boot wie Red Hat, wo der Benutzer, abhängig von den installierten Paketen, den Treiber zwingen kann, geladen zu werden; dann ist er da, um ausgenutzt zu werden”, sagte er.

Die Bugs wurden in den folgenden Kernel-Releases gepatcht: 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 und 4.4.260. Alle älteren Kernel sind End-of-Life und erhalten keine Patches.

Als vorübergehende Maßnahme zur Neutralisierung der Schwachstellen empfiehlt Nichols, den Kernel auf eine schwarze Liste zu setzen, wenn er nicht benutzt wird. “Jedes System, das dieses Modul nicht benutzt, kann einfach sagen, dass dieses Modul unter keinen Umständen geladen werden darf, und dann ist man sicher”, sagte er. Aber “wenn Sie tatsächlich iSCSI verwenden, dann sollten Sie das nicht tun.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com