«Злоумышленник может заставить статически скомпонованный set-uid-бинарник, использующий вызов dlopen() (непосредственно либо через функции вроде setlocale() или getaddrinfo()), загрузить подменённую библиотеку из каталога, указанного в переменной LD_LIBRARY_PATH», — поясняет Спицын.
Хотя исправление (glibc 2.39) выпущено ещё в январе 2023 года, многие дистрибутивы Linux (Rocky Linux, Debian, Ubuntu) до сих пор содержат уязвимые версии. Разработчики glibc утверждают, что эксплойтов, использующих эту уязвимость в стандартных пакетах, пока не обнаружено. Однако кастомные set-uid-утилиты, распространённые в корпоративной среде, подвержены риску.
«Прежде всего необходимо немедленно установить обновление glibc 2.39 или соответствующий бэкпорт от поставщика дистрибутива и убедиться, что на всех узлах репозитории безопасности подключены, а также усилить контроль доступа. Несмотря на то, что по шкале CVSS оценка 9,8, в реальности риск зависит от того, сколько статических set-uid-бинарников присутствует в конкретной инфраструктуре. Тем не менее рекомендую в корпоративной сети развернуть класс решений UEBA, чтобы оперативно отслеживать попытки эксплуатации локальных привилегий. Платформа расширенной аналитики Ankey ASAP позволяет фиксировать отклонения в лице вредоносной активности относительно созданной нормали благодаря модулям поведенческой аналитики», — добавляет киберэксперт.
