Den systemd-journald service har vist sig at være påvirket af to farlige svagheder, der spores i CVE-2018-16.865 og CVE-2018-16866 bulletiner. Ved at udnytte dem, it-kriminelle kan manipulere hukommelsen og overtage kontrollen af maskinerne. I dag sytemd-journald er en af de vigtigste komponenter i de fleste moderne Linux-systemer. Dette er grunden til, alle skal anvende alle softwarerettelser for at sikre, at de er beskyttet mod eventuelle angreb.
Systemd-journald truet, Proof-of-Concept benyttes eksisterende
Et alvorligt problem er netop blevet rapporteret at påvirke en af de centrale elementer i de fleste Linux-systemer i dag - den systemd tidsskrift service, som kaldes systemd-journald. Dette er den logning tjeneste, der anvendes af systemd, dens vigtigste opgave er at indsamle og opbevare login dato ved at opretholde en struktureret tidsskrift. Det kan interagere med en række forskellige kilder, herunder f.eks følgende:
- Kernel logmeddelelser, via kmsg
- Simple system logmeddelelser
- Struktureret system log-beskeder via den indfødte Journal API
- Standard output og standardafvigelse af serviceenheder
- revisionsposter, oprindelse fra undersystem kernen revision
Som sådan nogen sårbarheder, der påvirker tjenesten kan forårsage alvorlige skader på offer maskiner. Den første svaghed er tale CVE-2018-16.865 og det er beskrevet som følgende:
En tildeling af hukommelse uden grænser, som kan resultere i stablen støder sammen med en anden hukommelse region, blev opdaget i systemd-journald når mange poster sendes til tidsskriftet sokkel. En lokal angriber, eller fjernt, hvis der anvendes systemd-tidsskrift-fjernbetjening, kan anvende fejlen til at gå ned systemd-journald eller eksekvere kode med journald privilegier. Versioner gennem V240 er sårbare.
Det er stadig under analyse og det udgør en direkte trussel mod sårbare computere. Stort set enhver skadelig kode, hvad enten det er et script eller et enkeltstående program, der kan interagere med computeren på denne måde kan gå ned i maskinen. De andre ondsindede handlinger er at direkte eksekvere malware kode med journald privilegier.
Den anden udnytte tillader hukommelse eksponering og spores i CVE-2018-16.866 der er udstationeret med følgende decsription:
En out of bounds read blev opdaget i systemd-journald på den måde, det analyserer logmeddelelser som afslutter med et kolon ’:'. En lokal angriber kan bruge fejlen til at udlevere proces hukommelse data.
Succesfuld udnyttelse igen er afhængig af lokal skadelig kode, der skal køres. En nem måde er at gøre dette automatisk via en nyttelast faldet med en virus. Der er mange måder at få systemet til forstyrrelser ved hjælp af disse to svagheder og alle brugere rådes til at opdatere deres systemer så hurtigt som muligt for at undgå ethvert misbrug.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: