O serviço systemd-journald foi encontrado para ser afetada por duas vulnerabilidades perigosas que são rastreados nas CVE-2018-16865 e CVE-2018-16866 avisos. Explorando-os, criminosos de computador pode manipular a memória e assumir o controle das máquinas. Hoje em dia sytemd-journald é um dos componentes-chave da maioria dos sistemas Linux modernos. Esta é a razão todos devem aplicar todos os patches de software para garantir que eles sejam protegidos contra possíveis ataques.
Systemd-journald sob ameaça, Proof-of-Concept Exploit Disponível
Um problema sério foi apenas relatado para afetar um dos componentes-chave da maioria dos sistemas Linux hoje - o serviço de diário systemd que é chamado systemd-journald. Este é o serviço de log usado por systemd, sua principal tarefa é a data de coletar e armazenar o login através da manutenção de um diário estruturado. Ele pode interagir com uma variedade de fontes, incluindo, como a seguir:
- mensagens de log do kernel, via kmsg
- mensagens de log do sistema Simples
- Estruturados mensagens de log do sistema através da API nativa Jornal
- saída padrão e erro padrão de unidades de serviço
- registros de auditoria, originado do subsistema de auditoria do kernel
Como tal, quaisquer vulnerabilidades que afetem o serviço podem causar sérios danos às máquinas das vítimas. A primeira vulnerabilidade em questão é CVE-2018-16865 e é descrito como o seguinte:
Uma alocação de memória sem limites, que poderia resultar no conflito da pilha com outra região da memória, foi descoberto no systemd-journald quando muitas entradas são enviadas para o soquete do diário. Um atacante local, ou um remoto se systemd-journal-remote for usado, pode usar esta falha para travar o systemd-journald ou executar código com privilégios de journald. As versões até a v240 são vulneráveis.
Ainda está em análise e representa uma ameaça direta a computadores vulneráveis. Praticamente qualquer código malicioso, se é um script ou um programa autônomo que pode interagir com o computador desta forma pode travar a máquina. As outras ações maliciosas são executar diretamente o código de malware com privilégios de journald.
O segundo exploit permite a exposição da memória e é rastreado em CVE-2018-16866 que é postado com a seguinte descrição:
Uma leitura fora dos limites foi descoberta em systemd-journald na forma como ele analisa mensagens de log que terminam com dois pontos ‘:’. Um invasor local pode usar esta falha para divulgar os dados da memória do processo.
A exploração bem-sucedida, mais uma vez, depende de código malicioso local que deve ser executado. Uma maneira fácil é fazer isso automaticamente por meio de uma carga descartada por um vírus. Existem muitas maneiras de causar a interrupção do sistema usando esses dois pontos fracos e todos os usuários são aconselhados a atualizar seus sistemas o mais rápido possível para evitar qualquer abuso.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: