Anzeige

Sicherheitslücke

Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Heap-Overflow-Schwachstelle im TIPC-Modul des Kernels von Linux-Betriebssystemen entdeckt. Die Sicherheitslücke kann entweder lokal oder remote innerhalb eines Netzwerks ausgenutzt werden, um Kernel-Privilegien zu erlangen.

Das verwundbare TIPC-Modul ist in allen gängigen Linux-Distributionen enthalten, muss jedoch vom Nutzer geladen werden, um das Protokoll zu aktivieren.

Durch Ausnutzung der Schwachstelle können Angreifer das gesamte System kompromittieren, was zu schwerwiegenden Folgen führen kann. Am 29. Oktober wurde ein Update-Patch veröffentlicht, der das Problem behebt und bei den Kernel-Versionen zwischen 5.10rc-1 und 5.15 zum Einsatz kommt. Bei MITRE wird die Sicherheitslücke unter dem Kürzel CVE-2021-43267 geführt. 

Ausnutzung des TIPC-Protokolls

Transparent Inter-Process Communication (TIPC) ist ein Protokoll, das es den Knoten in einem Cluster ermöglicht, effizient zu kommunizieren und dabei fehlertolerant bleibt. Das Protokoll ist in einem Kernelmodul implementiert, das in allen gängigen Linux-Distributionen enthalten ist. Wenn es von einem Benutzer geladen wird, kann es als Socket verwendet und an einer Schnittstelle mit netlink (oder mit dem Userspace-Tool tipc, das diese netlink-Aufrufe ausführt) als unprivilegierter Benutzer konfiguriert werden.

Im September 2020 wurde ein neuer Benutzer-Nachrichtentyp namens MSG_CRYPTO eingeführt, der das Senden und Austauschen von kryptografischen Schlüssel ermöglicht, was den Ursprung der Sicherheitslücke darstellt. Die Möglichkeit der Konfiguration ausgehend aus einer unprivilegierten lokalen Ebene und die Gefahr der Ausnutzung aus der Ferne machen dies zu einer äußerst gefährlichen Schwachstelle für alle, die betroffene Systeme in ihren Netzwerken einsetzen. Besonders besorgniserregend ist, dass ein Angreifer, der diese Schwachstelle ausnutzt, beliebigen Code innerhalb des Kernels ausführen kann, was eine vollständige Kompromittierung des Systems durch Außenstehende zur Folge haben kann.

Disclosure und Gegenmaßnahmen

Am 19. Oktober wurden die Erkenntnisse von SentinelLabs proaktiv gemeldet. Die Sicherheitsforscher haben in Zusammenarbeit mit der Linux Foundation und einem der TIPC-Verantwortlichen einen Patch erstellt, der seit dem 29. Oktober verfügbar ist und seit dem 31. Oktober in aktuellen Linux-Versionen (nach 5.15) bereits vorhanden ist und das Problem behebt.

Da die Sicherheitslücke innerhalb eines Jahres nach ihrer Einführung in die Codebasis entdeckt wurde, sollten TIPC-Benutzer überprüfen, ob ihre Linux-Kernel-Version zwischen 5.10-rc1 und 5.15 liegt und gegebenenfalls ein Update durchführen. Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsfälle des Protokolls durch Cyberkriminelle entdeckt.

www.sentinelone.com


Weitere Artikel

Router

Hacker willkommen: Lücken in sämtlichen gängigen WLAN-Routern

Neun WLAN-Router bekannter Hersteller fanden sich kürzlich unter Laborbedingungen im Sicherheitstest wieder – mit verheerenden Ergebnissen im Bereich IT Security.
Ransomware 2.0

Schnelle Fortschritte bei Ransomware 2.0

Neue Techniken und Strategien machen Ransomware-Angriffe immer gefährlicher. Während herkömmliche Ransomware darauf abzielte, sich zu verbreiten und so viele Endgeräte wie möglich zu verschlüsseln, werden bei Ransomware 2.0-Angriffen fortschrittliche Methoden…
Linux

CronRat: Linux-Malware versteckt sich im Kalender

CronRat ist ein neuer Linux-Trojaner, der sich in den geplanten Aufgaben versteckt. Das Ausführungsdatum am 31. Februar ist natürlich ungültig, trotzdem entdecken ihn viele Sicherheitsprogramme nicht.
2022 KI

IT-Security-Trends 2022: KI macht Cyberangriffe gefährlicher

Cyberkriminalität steigt auch 2022 weiter an. Angreifer nutzen dabei konsequent jede Schwachstelle aus. Um ihre Ziele zu erreichen, setzen sie auf Multi-Ransomware-Angriffe und verwenden Künstliche Intelligenz (KI), mit der sie besseren Schadcode herstellen.
Phishing

Phishing-Kampagnen: Webseiten von Sparkasse und Volksbank werden imitiert

Die Security-Experten von Proofpoint haben eine Zunahme von Phishing-Kampagnen registriert, bei denen deutsche Bankkunden ins Visier der Cyberkriminellen geraten.
Geschenkkarten

Achtung: Drei Betrugsmethoden mit Geschenkkarten

Vor der Haupteinkaufszeit zu Weihnachten warnt Malwarebytes vor den Gefahren, die mit Geschenkkarten verbunden sind. Verbraucher müssen vor allem auf drei Betrugsmethoden mit Geschenkkarten achten, um Cyberkriminellen nicht in die Falle zu gehen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.