Il servizio di systemd-journald è stato trovato per essere colpiti da due vulnerabilità pericolose che vengono monitorati in CVE-2.018-16.865 e CVE-2018-16866 avvisi. Da loro sfruttamento, criminali informatici possono manipolare la memoria e prendere il controllo delle macchine. Al giorno d'oggi sytemd-journald è uno dei componenti chiave della maggior parte dei sistemi Linux moderni. Questa è la ragione tutti devono applicare tutte le patch software per assicurarsi che siano protetti contro eventuali attacchi.
Systemd-journald sotto minaccia, Proof-of-Concept Exploit Disponibile
Un problema serio è appena stato segnalati pregiudizio ad una delle componenti chiave della maggior parte dei sistemi Linux di oggi - il servizio ufficiale di systemd che si chiama systemd-journald. Questo è il servizio di registrazione utilizzato da systemd, Il suo compito principale è quello di raccogliere e data di deposito di accesso, mantenendo un diario strutturato. Può interagire con una varietà di fonti compreso come la seguente:
- messaggi di log del kernel, via kmsg
- messaggi di log di sistema semplice
- messaggi di log sistema strutturato tramite l'API native ufficiale
- Lo standard output e lo standard error di unità di servizio
- record di controllo, proveniente dal sottosistema di revisione del kernel
Come tali eventuali vulnerabilità che interessano il servizio possono causare seri danni alle macchine vittima. La prima vulnerabilità in questione è CVE-2.018-16.865 ed è descritta come segue:
Una dotazione di memoria senza limiti, che potrebbe comportare la pila scontrarsi con un'altra regione di memoria, è stato scoperto nel systemd-journald quando molte voci vengono inviati alla presa ufficiale. Un malintenzionato locale, oppure uno remoto se si utilizza systemd-journal remoto, può utilizzare questo difetto di crash systemd-journald o eseguire codice con privilegi journald. Versioni fino V240 sono vulnerabili.
E 'ancora in fase di analisi e pone una minaccia diretta per computer vulnerabili. Praticamente qualsiasi codice maligno, se si tratta di uno script o un programma standalone che può interagire con il computer in questo modo può mandare in crash la macchina. Le altre azioni pericolose è quello di eseguire direttamente il codice del malware con privilegi journald.
Il secondo exploit consente di esposizione memoria ed è registrato in CVE-2.018-16.866 che viene pubblicato con il seguente decsription:
Un fuori dai limiti leggere è stato scoperto in systemd-journald nel modo in cui analizza i messaggi di log che terminano con i due punti ‘:'. Un attaccante locale può utilizzare questo difetto di rivelare i dati della memoria di processo.
Il successo dello sfruttamento si basa ancora una volta sul codice maligno locale che deve essere eseguito. Un modo semplice è quello di farlo automaticamente tramite un carico utile è sceso da un virus. Ci sono molti modi per perturbare il sistema utilizzando questi due punti deboli e tutti gli utenti sono invitati ad aggiornare i propri sistemi al più presto possibile per evitare qualsiasi abuso.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: