El servicio systemd-journald se ha encontrado para ser afectado por dos vulnerabilidades peligrosas que se realiza un seguimiento de las CVE-2018-16865 y 2018-16866 CVE-avisos. Explotándolos, delincuentes informáticos pueden manipular la memoria y tomar el control de las máquinas. Hoy en día sytemd-journald es uno de los componentes clave de la mayoría de los sistemas Linux modernos. Esta es la razón por la que todos deben aplicar todos los parches de software para asegurarse de que están protegidos contra posibles ataques.
Systemd-journald bajo amenaza, La prueba de concepto Exploit Disponible
Un problema grave ha sido sólo reportado que afecta a uno de los componentes clave de la mayoría de los sistemas Linux hoy en día - el servicio de diario systemd que se llama systemd-journald. Este es el servicio de registro utilizado por systemd, Su principal tarea es recoger y almacenar la fecha de inicio de sesión mediante el mantenimiento de un diario estructurado. Puede interactuar con una variedad de fuentes, incluyendo como la siguiente:
- los mensajes de registro del núcleo, a través de kmsg
- los mensajes de registro del sistema sencillo
- los mensajes de registro del sistema estructurados a través de la API nativa Diario
- la salida estándar y el error estándar de unidades de servicio
- Los registros de auditoría, procedente del subsistema de auditoría del kernel
Como tal, cualquier vulnerabilidad que afectan el servicio pueden causar graves daños a los equipos de las víctimas. La primera vulnerabilidad en cuestión es CVE-2018-16.865 y se describe como la siguiente:
Una asignación de memoria sin límites, que podrían resultar en la pila de chocar con otra región de memoria, fue descubierto en systemd-journald cuando muchas entradas se envían a la toma de revista. Un atacante local, o un mando a distancia si se utiliza systemd-revista-remoto, puede utilizar este error para chocar systemd-journald o ejecutar código con privilegios journald. Versiones hasta la V240 son vulnerables.
Se halla aún en fase de análisis y plantea una amenaza directa a los ordenadores vulnerables. Prácticamente cualquier código malicioso, si se trata de un script o un programa independiente que puede interactuar con el ordenador de esta manera puede chocar la máquina. Las otras acciones maliciosas es para ejecutar código malicioso directamente con privilegios journald.
El segundo explotar permite la exposición de la memoria y se hace un seguimiento en CVE-2.018-16.866 que está publicado con la siguiente decsription:
Un fuera de los límites leí fue descubierto en systemd-journald en la forma en que analiza los mensajes de registro que terminan con dos puntos ‘:'. Un atacante local puede usar este defecto de revelar datos de la memoria proceso de.
El éxito de la explotación se basa una vez más en código malicioso local que se va a ejecutar. Una manera fácil es hacer esto automáticamente a través de una carga útil caído por un virus. Hay muchas formas de provocar la interrupción del sistema utilizando estos dos puntos débiles y todos los usuarios se les recomienda actualizar sus sistemas tan pronto como sea posible para evitar cualquier abuso.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: