Badacze bezpieczeństwa odkryli niedawno „wiele luk w zabezpieczeniach” w systemach Ubuntu, z których niektóre pozwalają złośliwemu graczowi na uzyskanie uprawnień root'a na docelowym urządzeniu.

W poście na blogu Bharat Jogi, dyrektor ds. badań nad lukami i zagrożeniami w Qualys, powiedział, że zespół odkrył luki w funkcji natychmiastowej blokady w systemach operacyjnych Linux. Zagrożonych jest około 40 milionów użytkowników.

Jogi opisuje Snap jako „system pakowania i wdrażania oprogramowania” stworzony przez Canonical dla systemów operacyjnych na jądrze Linux. Te pakiety lub „snap” oraz narzędzie, które ich używa, „snapd”, działają w wielu dystrybucjach Linuksa, umożliwiając programistom dostarczanie aplikacji bezpośrednio do użytkowników.

Uzyskaj dostęp do roota

Migawki, jak wyjaśnia Jogi, są „niezależnymi aplikacjami, które działają w piaskownicy z zapośredniczonym dostępem do systemu hosta. Snap-limite w programie sa używanym wewnętrznie przez snapd do budowania środowiska uruchomieniowego dla aplikacji snap.

Nadużywając luki oznaczonej jako CVE-2021-44731, atakujący może podnieść uprawnienia konta podstawowego do poziomu roota. Badacze Qualys twierdzą, że niezależnie zweryfikowali tę lukę, stworzyli exploit i uzyskali pełne uprawnienia roota w domyślnych instalacjach Ubuntu.

Zespół nie wyjaśnił, czy exploit miał postać złośliwego oprogramowania, czy też przyjął inne podejście.

Jak zwykle, gdy wiadomość trafiła do prasy, łatka została już wydana, więc użytkownikom Ubuntu zaleca się natychmiastową aktualizację do najnowszej wersji. Klienci Qualys mogą przeszukiwać bazę wiedzy o lukach CVE-2021-44731, aby zidentyfikować wszystkie wrażliwe identyfikatory QID i zasoby, podała firma.

„W dobie Log4Shell, SolarWinds, MSFT Exchange (i tak dalej) niezwykle ważne jest, aby luki w zabezpieczeniach były odpowiedzialnie zgłaszane i niezwłocznie naprawiane i naprawiane”, ostrzega zespół badawczy. „To ujawnienie pokazuje, że bezpieczeństwo nie jest wyjątkowe – ten kod był wielokrotnie sprawdzany, a Snap ma bardzo obronne technologie”.

Udostępnij to