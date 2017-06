Via de Stack Clash-kwetsbaarheid in Linux, Solaris en BSD-gebaseerde systemen kunnen aanvallers rootrechten verkrijgen en machines volledig overnemen, zo waarschuwde Qualys maandag. Vooral hosters en admins van omgevingen die worden gedeeld moeten waakzaam zijn, want één overgenomen gebruiker kan leiden tot schade bij alle andere gebruikers op dezelfde server.

Schrijven naar heapgeheugen

Stack Clash verwijst naar een aantal kwetsbaarheden waarmee rechten kunnen worden geëscaleerd (CVE-2017-1000364, CVE-2017-1000365 en CVE-2017-1000367 om er enkele te noemen) die invloed hebben op het stackgeheugen, een stukje werkgeheugen waar kort applicatiedata wordt opgeslagen en die groeit als het nodig is.

Als dat geheugen groeit, kan het indringen op de heap, de geheugenruimte waar informatie wordt opgeslagen over bijvoorbeeld welke bestanden worden bekeken en bewerkt. Aanvallers kunnen van die krapte tussen de twee regio's gebruikmaken om de applicatie stukken van de stack en de heap te laten overschrijven.

Sudo, Id.so en SUID

Qualys schreef een exploit voor dit probleem voor testdoeleinden en Jimmy Graham van het bedrijf vertelt dat hiermee een aanvaller de rechten verwerft van het programma dat op dat moment wordt uitgevoerd. Het gaat daarbij niet om zomaar wat applicaties, het gaat ook om vertrouwde toepassingen als sudo op Debian, Ubuntu en CentOS, Id.so en SUID-root binary's op Debian, Ubuntu, Fedora en CentOS en rsh op Solaris.

Als het aangevallen programma rootrechten heeft, krijgt een kwaadwillende via de methode admin-rechten over het hele systeem. "Dit is een vrij overzichtelijke manier om root te krijgen nadat je superuser-toegang hebt gekregen", zegt Graham.

De kwetsbaarheid is aanwezig in Unix-gebaseerde systemen op i386 en amd64-architecuren. Linux-distro's die kwetsbaar zijn, zijn onder meer Red Hat, Debian, Ubuntu, SUSE, CentOS en Gentoo. Solaris is van Oracle. FreeBSD, OpenBSD en NetBSD zijn ook vatbaar. Qaulys werkt al sinds mei met leveranciers en distributies om de kwetsbaarheid te repareren en de updates daarvoor worden nu vrijgegeven. Admins moeten snel reageren om vatbare machines te patchen.

Overspringen naar andere userspace

Enige haast is geboden, vooral omdat Unix-gebaseerde systemen vooral worden gebruikt in back-ends; serveromgevingen. Qualys heeft niet gekeken naar producten van Microsoft of Apple, waardoor Graham niet kon zeggen wat voor impact dezelfde kwetsbaarheden hebben op die systemen.

Systemen die moeten voldoen aan strikte regelgeving of kritieke data bevatten hebben de prioriteit. Als de gebruiker shelltoegang heeft tot de server, wat vaak is in omgevingen waar meerdere partijen gebruik van maken, kunnen aanvallers die gebruiker pakken met Stack Clash om applicaties in die userspace te grijpen om vervolgens over te springen op andere userspaces in die gedeelde omgeving.