Qualys: scoperte cinque vulnerabilità in needrestart su Ubuntu Server

 Qualys Threat Research Unit (TRU) ha identificato cinque vulnerabilità di tipo Local Privilege Escalation (LPE) all’interno del componente needrestart, installato di default su Ubuntu Server. Queste vulnerabilità possono essere sfruttate da qualsiasi utente senza privilegi per ottenere l’accesso completo a root senza richiedere l’interazione dell’utente. Alle falle identificate sono stati assegnati gli identificativi CVE CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 e CVE-2024-11003, a evidenziare la necessità di un immediato rimedio per proteggere l’integrità del sistema.

Che cos’è needrestart?

Needrestart è un’utilità che analizza il sistema per determinare se è necessario un riavvio suo o dei suoi servizi. In particolare, segnala i servizi da riavviare se utilizzano librerie condivise obsolete, ad esempio quando una libreria viene sostituita durante l’aggiornamento di un pacchetto. Needrestart è impostato per essere eseguito automaticamente dopo le operazioni APT come l’installazione, l’aggiornamento o la rimozione, compresi gli aggiornamenti non presidiati.

Il suo ruolo principale è quello di identificare i servizi che devono essere riavviati dopo gli aggiornamenti di librerie critiche, come la libreria C (glibc). Questo processo garantisce che i servizi utilizzino le versioni più recenti delle librerie senza richiedere un riavvio completo del sistema, migliorando i tempi di attività e le prestazioni. Aggiornando tempestivamente i servizi con le librerie più recenti, needrestart è fondamentale per mantenere la sicurezza e l’efficienza di Ubuntu Server.

Le versioni di needrestart interessate

Le falle di sicurezza sono presenti nella versione di needrestart installata di default su Ubuntu Server dalla versione 21.04, con un impatto su un numero considerevole di distribuzioni a livello globale. Ad essere interessate sono le versioni di needrestart precedenti alla 3.8 mentre nella versione 3.8 è disponibile una correzione.

Nelle versioni precedenti alla 3.8, il componente consente agli aggressori di eseguire codice arbitrario come root. L’exploit si ottiene manipolando una variabile d’ambiente controllata dall’aggressore che influenza l’interprete Python/Ruby, passando dati non sanificati a una libreria che si aspetta un input sicuro, consentendo così l’esecuzione di comandi shell arbitrari.

Per ridurre questi rischi, si consiglia alle aziende di aggiornare il software needrestart o di disabilitare la funzione vulnerabile modificando il file di configurazione per disattivare la scansione dell’interprete. Le modifiche necessarie possono essere apportate impostando “$nrconf{interpscan} = 0;” nel file /etc/needrestart/needrestart.conf.

L’impatto potenziale

Qualys segnala che una simile violazione comporta considerevoli rischi per le aziende, tra cui l’accesso non autorizzato a dati sensibili, l’installazione di malware e la potenziale interruzione delle attività aziendali. Potrebbe portare a violazioni dei dati, a non conformità normativa e all’erosione della fiducia dei clienti e degli stakeholder, con conseguenti ripercussioni sulla reputazione dell’organizzazione.

Queste vulnerabilità di escalation dei privilegi locali in needrestart sono allarmanti”, commentano gli esperti della Qualys Threat Research Unit. “Consentono agli utenti locali di scalare i propri privilegi fino al livello di utente root. Un aggressore che sfrutti queste vulnerabilità potrebbe ottenere l’accesso root, compromettendo l’integrità e la sicurezza del sistema”.