De systemd-journald dienst is gevonden te worden beïnvloed door twee gevaarlijke kwetsbaarheden die worden bijgehouden in de CVE-2018-16.865 en CVE-2018-16.866 advisories. Door hen te exploiteren, computer criminelen kunnen het geheugen te manipuleren en de overname van de controle van de machines. Tegenwoordig sytemd-journald is een van de belangrijkste onderdelen van de meeste moderne Linux-systemen. Dit is de reden waarom iedereen moet alle software patches om ervoor te zorgen dat ze beschermd zijn tegen mogelijke aanvallen.
Systemd-journald Under Threat, Proof-of-Concept Exploit Beschikbaar
Een ernstig probleem is net geweest gerapporteerd een van de belangrijkste onderdelen van de meeste Linux-systemen van vandaag van invloed op - de systemd journaalservice die heet systemd-journald. Dit is de logging dienst die wordt gebruikt door systemd, Haar voornaamste taak is het verzamelen en op te slaan login datum door het handhaven van een gestructureerde dagboek. Het kan interageren met een verscheidenheid aan bronnen, waaronder zoals de volgende:
- Kernel log berichten, via kmsg
- Eenvoudig systeem logmeldingen
- Gestructureerd systeem log berichten via de inheemse Journal API
- Standaard output en standaard fout van de service units
- auditregistraties, afkomstig van het subsysteem kernel audit
Als zodanig alle kwetsbaarheden die de dienst beïnvloeden ernstige schade aan het slachtoffer machines kunnen veroorzaken. De eerste kwetsbaarheid betrokken CVE-2018-16.865 en wordt beschreven als de volgende:
Een toewijzing van geheugen zonder beperkingen, die kan leiden tot de stapel botsing met een ander geheugengebied, werd ontdekt in systemd-journald toen veel inzendingen voor het tijdschrift socket worden verzonden. Een lokale aanvaller, of een externe een als systemd tijdschrift-afstandsbediening gebruikt, kan deze fout gebruiken om systemd-journald crashen of code uit te voeren met journald privileges. Versies tot V240 kwetsbaar.
Het is nog steeds analyse ondergaat en het vormt een directe bedreiging voor kwetsbare computers. Vrijwel elke kwaadaardige code, of het nu een script of een stand-alone programma dat kan communiceren met de computer op deze manier kan de machine crashen. De andere kwaadaardige acties is om malware code met journald privileges direct uit te voeren.
De tweede exploit maakt het mogelijk om de blootstelling geheugen en wordt bijgehouden in CVE-2018-16.866 die is geboekt met de volgende decsription:
Een out of bounds lezen werd ontdekt in systemd-journald in de manier waarop het ontleedt log berichten die eindigen met een dubbele punt ‘:'. Een kwaadwillende kan deze tekortkoming om procesgeheugen gegevens openbaart.
Succesvolle exploitatie vertrouwt wederom op de lokale kwaadaardige code die moet worden uitgevoerd. Een gemakkelijke manier is om dit automatisch te doen via een payload gedropt door een virus. Er zijn vele manieren om het systeem te ontwrichten behulp van deze twee zwakke punten en alle gebruikers wordt aangeraden om hun systemen zo snel mogelijk bij te stellen om misbruik te voorkomen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: