# Eskalace privilegií v Linuxu prostřednictvím zranitelnosti Needrestart CVE-2024-48990
Zranitelnost CVE-2024-48990 umožňuje lokální eskalaci privilegií (LPE) v nástroji Needrestart ve verzích do 3.8. Problém spočívá v zpracování proměnné prostředí PYTHONPATH, což umožňuje spuštění libovolného kódu s právy root. Postihuje Ubuntu od 21.04, Debian, Fedora a další distribuce Linuxu. Hodnocení CVSS — 7.8.
Needrestart skenuje procesy po aktualizaci knihoven a restartuje zranitelné služby. Útok využívá nedostatečnou kontrolu cest k načítání modulů pro Python, Perl a Ruby tím, že je nahradí škodlivými.
Kontrola systému na zranitelnost
Proveďte tento příkaz pro kontrolu verze:
needrestart --version | grep -q "3.7" && echo "Definitely vulnerable" || echo "Version is potentially not vulnerable, this simply checks for 3.7"
Verze nižší než 3.8 jsou zranitelné. Nástroj se spouští automaticky při instalaci balíčků přes apt, což vytváří okno pro exploataci.
Postupná exploatace
Pro demonstraci použijte veřejný PoC. Naklonujte repozitář a spusťte skript jako běžný uživatel:
cd CVE-2024-48990-PoC-Testing
./runner.sh
Skript nastaví PYTHONPATH na škodlivý modul. Poté od uživatele root nebo sudo proveďte akci, která spustí Needrestart, například:
sudo apt remove ntp; sudo apt install ntp
To vede k spuštění kódu s právy root, což otevře reverse shell nebo přímý přístup.
Technické detaily útoku
Zranitelnost vzniká při parsování PYTHONPATH: Needrestart nevaliduje cesty, což umožňuje injekci modulu, který se načte s zvýšenými právy. Stejně tak pro PERL5LIB a RUBYLIB.
- Útočník nastaví PYTHONPATH=/path/to/malicious.
- Needrestart při skenování importuje modul z uvedené cesty.
- Spustí se payload s právy root.
Vyžaduje lokální přístup a spuštění Needrestart jiným uživatelem (sudo).
Opatření k ochraně a patchování
- Aktualizujte na Needrestart 3.8 nebo vyšší: zranitelnost je opravena posílenou validací proměnných prostředí.
- Vypněte skenování interpretů v /etc/needrestart/needrestart.conf:
```
$nrconf{interpscan} = 0;
```
- Monitorujte proměnné prostředí přes auditd nebo falco.
- Používejte AppArmor nebo SELinux k omezení Needrestart.
Co je důležité
- CVE-2024-48990 se exploituje přes PYTHONPATH bez počátečního root přístupu.
- Postihuje servery Ubuntu 21.04+, Debian, Fedora s Needrestart jako výchozím.
- Patch ve verzi 3.8: úplná validace cest k modulům.
- Doporučuje se vypnout interpscan pro minimalizaci rizik.
- Testujte aktualizace v izolovaném prostředí před nasazením.
— Editorial Team
Zatím žádné komentáře.