sistemas expuestos

Una vulnerabilidad de corrupción de memoria en la biblioteca libcue de código abierto puede permitir a los atacantes ejecutar código arbitrario en sistemas Linux que ejecutan el entorno de escritorio GNOME.

libcue, una biblioteca diseñada para analizar archivos de hojas de referencia, está integrada en el indexador de metadatos de archivos de Tracker Miners, que se incluye de forma predeterminada en las últimas versiones de GNOME.

Las hojas de referencia (o archivos CUE) son archivos de texto sin formato que contienen el diseño de las pistas de audio en un CD, como la duración, el nombre de la canción y el músico, y también suelen combinarse con el formato de archivo de audio FLAC.

GNOME es un entorno de escritorio ampliamente utilizado en varias distribuciones de Linux, como Debian, Ubuntu, Fedora, Red Hat Enterprise y SUSE Linux Enterprise.

Los atacantes pueden explotar con éxito la falla en cuestión (CVE-2023-43641) para ejecutar código malicioso aprovechando que Tracker Miners indexa automáticamente todos los archivos descargados para actualizar el índice de búsqueda en dispositivos GNOME Linux.

«Debido a la forma en que lo utilizan los rastreadores-mineros, esta vulnerabilidad en libcue se convirtió en un RCE de 1 clic. Si usa GNOME, actualice hoy«, dijo el investigador de seguridad de GitHub Kevin Backhouse, quien encontró el error.

Para aprovechar esta vulnerabilidad, el usuario objetivo debe descargar un archivo .CUE creado con fines malintencionados, que luego se almacena en la carpeta ~/Descargas.

La falla de corrupción de memoria se activa cuando el indexador de metadatos de Tracker Miners analiza el archivo guardado automáticamente mediante el proceso de extracción del rastreador.

«Para resumir, eso significa que hacer clic inadvertidamente en un enlace malicioso es todo lo que necesita un atacante para explotar CVE-2023-43641 y ejecutar el código en su computadora«, dijo Backhouse.

Backhouse demostró un exploit de prueba de concepto y compartió un video a través de Twitter hoy. Sin embargo, el lanzamiento de la PoC se pospondrá para dar tiempo a todos los usuarios de GNOME para actualizar y proteger sus sistemas.

Si bien es necesario modificar el exploit PoC para que funcione correctamente en cada distribución de Linux, el investigador dijo que ya había creado exploits dirigidos a las plataformas Ubuntu 23.04 y Fedora 38 que funcionan «de manera muy confiable«.

«En mis pruebas, descubrí que el PoC funciona de manera muy confiable cuando se ejecuta en la distribución correcta (y activará un SIGSEGV cuando se ejecuta en la distribución incorrecta)«, dijo Backhouse.

«No he creado PoC para ninguna otra distribución, pero creo que todas las distribuciones que ejecutan GNOME son potencialmente explotables«.

Si bien la explotación exitosa de CVE-2023-43641 requiere engañar a una víctima potencial para que descargue un archivo .cue, se recomienda a los administradores parchear los sistemas y mitigar los riesgos que plantea esta falla de seguridad, ya que proporciona ejecución de código en dispositivos que ejecutan las últimas versiones de Distribuciones de Linux ampliamente utilizadas, incluidas Debian, Fedora y Ubuntu.

Backhouse ha encontrado otras fallas graves de seguridad de Linux en los últimos años, incluido un error de escalada de privilegios en GNOME Display Manager (gdm) y una omisión de autenticación en el servicio del sistema de autenticación polkit instalado de forma predeterminada en muchas plataformas Linux modernas.

En noticias relacionadas, ya han surgido exploits de prueba de concepto para la falla de alta gravedad de Looney Tunables en el cargador dinámico de la biblioteca GNU C, rastreada como CVE-2023-4911, lo que permite a los atacantes locales obtener privilegios de root en las principales plataformas Linux.

Fuente y redacción: thehackernews.com

Compartir