Zpět na domů

CVE-2024-48990: LPE v Needrestart Linux

Zranitelnost CVE-2024-48990 v Needrestart umožňuje LPE přes manipulaci PYTHONPATH. Rozbor mechanismu, PoC-exploitace a patchování pro Ubuntu, Debian. Doporučení k ochraně serverů.

LPE přes Needrestart: CVE-2024-48990 podrobně
Advertisement 728x90

# Eskalace privilegií v Linuxu prostřednictvím zranitelnosti Needrestart CVE-2024-48990

Zranitelnost CVE-2024-48990 umožňuje lokální eskalaci privilegií (LPE) v nástroji Needrestart ve verzích do 3.8. Problém spočívá v zpracování proměnné prostředí PYTHONPATH, což umožňuje spuštění libovolného kódu s právy root. Postihuje Ubuntu od 21.04, Debian, Fedora a další distribuce Linuxu. Hodnocení CVSS — 7.8.

Needrestart skenuje procesy po aktualizaci knihoven a restartuje zranitelné služby. Útok využívá nedostatečnou kontrolu cest k načítání modulů pro Python, Perl a Ruby tím, že je nahradí škodlivými.

Kontrola systému na zranitelnost

Proveďte tento příkaz pro kontrolu verze:

Google AdInline article slot
needrestart --version | grep -q "3.7" && echo "Definitely vulnerable" || echo "Version is potentially not vulnerable, this simply checks for 3.7"

Verze nižší než 3.8 jsou zranitelné. Nástroj se spouští automaticky při instalaci balíčků přes apt, což vytváří okno pro exploataci.

Postupná exploatace

Pro demonstraci použijte veřejný PoC. Naklonujte repozitář a spusťte skript jako běžný uživatel:

cd CVE-2024-48990-PoC-Testing
./runner.sh

Skript nastaví PYTHONPATH na škodlivý modul. Poté od uživatele root nebo sudo proveďte akci, která spustí Needrestart, například:

Google AdInline article slot
sudo apt remove ntp; sudo apt install ntp

To vede k spuštění kódu s právy root, což otevře reverse shell nebo přímý přístup.

Technické detaily útoku

Zranitelnost vzniká při parsování PYTHONPATH: Needrestart nevaliduje cesty, což umožňuje injekci modulu, který se načte s zvýšenými právy. Stejně tak pro PERL5LIB a RUBYLIB.

  • Útočník nastaví PYTHONPATH=/path/to/malicious.
  • Needrestart při skenování importuje modul z uvedené cesty.
  • Spustí se payload s právy root.

Vyžaduje lokální přístup a spuštění Needrestart jiným uživatelem (sudo).

Google AdInline article slot

Opatření k ochraně a patchování

  • Aktualizujte na Needrestart 3.8 nebo vyšší: zranitelnost je opravena posílenou validací proměnných prostředí.
  • Vypněte skenování interpretů v /etc/needrestart/needrestart.conf:

```

$nrconf{interpscan} = 0;

```

  • Monitorujte proměnné prostředí přes auditd nebo falco.
  • Používejte AppArmor nebo SELinux k omezení Needrestart.

Co je důležité

  • CVE-2024-48990 se exploituje přes PYTHONPATH bez počátečního root přístupu.
  • Postihuje servery Ubuntu 21.04+, Debian, Fedora s Needrestart jako výchozím.
  • Patch ve verzi 3.8: úplná validace cest k modulům.
  • Doporučuje se vypnout interpscan pro minimalizaci rizik.
  • Testujte aktualizace v izolovaném prostředí před nasazením.

— Editorial Team

Advertisement 728x90

Číst dál