Jetzt patchen! Exploits für glibc-Lücke "Looney Tunables" öffentlich verfügbar

Eine Sicherheitslücke in der Linux-Kernbibliothek glibc erlaubt Angreifern, die über ein lokales Konto verfügen, eine Rechteausweitung zum Administratorkonto "root". Mehrere IT-Sicherheitsforscher haben nun funktionierende Exploits veröffentlicht, mit denen Angreifer Root-Privilegien erlangen können. IT-Verantwortliche mit Linux-Systemen sollten zügig patchen.

Bereits kurz nach Bekanntwerden der Rechteausweitungs-Schwachstelle mit der CVE-Nummer CVE-2023-4911 in der glibc erschienen nebst Updates für alle großen Distributionen auch erste "Proof of Concept"-Exploits (PoC). Waren diese zu Beginn noch recht langsam und auf einige wenige Systeme begrenzt, ist es nun einem IT-Forscher gelungen, einen zuverlässigen Exploit zu schreiben, den Anwender auf ihre eigenen Systeme anpassen können.

Root werden leichtgemacht

Der Niederländer Peter Geissler veröffentlichte auf seiner Website ein Python-Skript, das auf ungepatchten Systemen eine Rootshell öffnet. Der Clou dieses Exploits: Mit geringen Modifikationen können Pentester das Skript so anpassen, dass es auch auf ihrer Linux-Version läuft. Zumindest, solange die Fehlerkorrekturen dort noch nicht Einzug gehalten haben.

Die Sicherheitslücke in glibc war am vergangenen Dienstag von der Sicherheitsfirma Qualys publik gemacht und prompt von allen großen Distributionen geflickt worden. Betroffen von dem "Looney Tunables" getauften Sicherheitsleck sind alle glibc-Versionen seit 2.34. Aktualisierte Versionen der großen Linux-Distributionen tragen die Versionsnummern

• 2.35-0ubuntu3.4 für Ubuntu 22.04,
• 2.37-0ubuntu2.1 für Ubuntu 23.04,
• 2.31-13+deb11u7 für Debian 11,
• 2.36-9+deb12u3 für Debian 12 sowie
• 2.28-225.el8_8.6 für RHEL 8 respektive
• 2.34-60.el9_2.7 für RHEL9.
• 2.38-4.1 für OpenSUSE Tumbleweed, andere SuSE-Versionen sind nicht betroffen.

Puristen, die ihre glibc selbst kompilieren, müssen derzeit auf die Entwicklungsversion 2.39 setzen, die erst im kommenden Februar planmäßig veröffentlicht werden soll. Die auf der glibc-Website zum Meldungszeitpunkt zum Herunterladen angebotene Version 2.38 ist noch verwundbar.

Admins neigen bisweilen dazu, Exploits zur lokalen Rechteausweitung (Local Privilege Elevation, LPE) zu belächeln, erlauben diese doch keinen direkten Angriff aus der Ferne. In Verbindung mit einer weiteren Sicherheitslücke, etwa wie des aktuellen Confluence-Lecks, das Codeausführung erlaubt, gelingt Angreifern jedoch mittels einer LPE die komplette Übernahme des Rechners. Cyberkriminelle dürften sich die Sicherheitslücke daher bald zunutze machen, um Linux-Systeme zu übernehmen und dann etwa Ransomware zu installieren.

(cku)