Les attaquants locaux malveillants peuvent obtenir un accès root complet sur les machines Linux en tirant parti d’une faille de sécurité récemment révélée dans la bibliothèque GNU C (alias glibc).
Suivie comme CVE-2023-6246, la vulnérabilité de dépassement de tampon basée sur le tas est enracinée dans la fonction __vsyslog_internal() de la glibc, qui est utilisée par syslog() et vsyslog() à des fins de journalisation du système. Il aurait été introduit accidentellement en août 2022 avec la sortie de la glibc 2.37.
« Cette faille permet une élévation de privilèges locale, permettant à un utilisateur non privilégié d’obtenir un accès root complet », Saeed Abbasi, chef de produit de l’unité de recherche sur les menaces chez Qualys, ditl’ajout de cela affecte les principales distributions Linux comme Debian, Ubuntu et Fedora.
Un acteur malveillant pourrait exploiter cette faille pour obtenir des autorisations élevées via des entrées spécialement conçues pour les applications qui utilisent ces fonctions de journalisation.
« Bien que le vulnérabilité nécessite des conditions spécifiques pour être exploitées (comme un argv inhabituellement long[0] ou l’argument d’identification openlog()), son impact est significatif en raison de l’utilisation généralisée de la bibliothèque concernée », a noté Abbasi.
La société de cybersécurité a déclaré qu’une analyse plus approfondie de la glibc a mis au jour deux autres failles dans la fonction __vsyslog_internal() (CVE-2023-6779 et CVE-2023-6780) et un troisième bug dans la fonction qsort() de la bibliothèque qui peut entraîner une corruption de la mémoire.
La vulnérabilité trouvée dans qsort() affecte toutes les versions de glibc publiées depuis 1992.
Ce développement intervient près de quatre mois après que Qualys a détaillé une autre faille de haute gravité dans la même bibliothèque appelée Looney Tunables (CVE-2023-4911, score CVSS : 7,8) qui pourrait entraîner une élévation de privilèges.
« Ces failles soulignent la nécessité cruciale de mesures de sécurité strictes dans le développement de logiciels, en particulier pour les bibliothèques principales largement utilisées dans de nombreux systèmes et applications », a déclaré Abbasi.