©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
ameaças cibernéticas

Grave ameaça à segurança do Linux: CVE-2023-4911 Looney Tunables

Equipe EcoTrust

3 min read
Grave ameaça à segurança do Linux: CVE-2023-4911 Looney Tunables

A descoberta recente de uma vulnerabilidade crítica no carregador dinâmico da biblioteca C GNU (glibc) representa uma ameaça séria para inúmeras distribuições Linux. Batizada de "Looney Tunables", essa falha de segurança, rastreada como CVE-2023-4911, permite que invasores locais obtenham privilégios de root em sistemas Linux amplamente utilizados.

Essa vulnerabilidade, divulgada pela Unidade de Pesquisa de Ameaças da Qualys em 3 de outubro, ocorre devido a um estouro de buffer no processamento da variável de ambiente GLIBC_TUNABLES pelo carregador dinâmico ld.so. Ao configurar essa variável de forma maliciosa, um invasor pode executar código arbitrário com privilégios de root ao iniciar binários com permissão SUID.

O carregador dinâmico da glibc desempenha um papel fundamental na preparação e execução de programas no Linux. Por isso, seu código é altamente sensível à segurança, pois é executado com privilégios elevados quando um usuário local inicia um programa com as permissões set-user-ID ou set-group-ID. Infelizmente, a maneira como o ld.so lida com a variável GLIBC_TUNABLES é suscetível a ataques e pode ser explorada para ganhar acesso root.

Explorando a falha Looney Tunables


A vulnerabilidade Looney Tunables ocorre porque o carregador dinâmico da glibc não verifica adequadamente os limites da variável de ambiente GLIBC_TUNABLES antes de copiá-la para um buffer na memória. Isso permite o estouro desse buffer por meio de uma entrada maliciosamente grande.

Os pesquisadores da Qualys relataram ter explorado com sucesso essa falha para obter privilégios de root completos nas instalações padrão do Fedora 37 e 38, Ubuntu 22.04 e 23.04 e Debian 12 e 13. Eles alertam que outras distribuições que utilizam a glibc provavelmente também são suscetíveis.

Embora a Qualys não tenha divulgado publicamente o código de exploração, a facilidade de transformar o estouro de buffer em um ataque somente de dados significa que equipes de pesquisa podem rapidamente desenvolver e liberar exploits funcionais. De fato, alguns pesquisadores independentes já publicaram provas de conceito na internet logo após o anúncio.

Esses exploits de código aberto permitem que invasores explorem facilmente a vulnerabilidade Looney Tunables para elevar seus privilégios em sistemas Linux afetados. Dada a enorme base de usuários do Fedora, Ubuntu, Debian e outras distribuições baseadas em glibc, esse bug representa uma ameaça generalizada à segurança de sistemas Linux.

Riscos e impacto

A presença de uma falha de estouro de buffer no carregador dinâmico altamente privilegiado da glibc representa riscos significativos. Um invasor que obtenha acesso a uma conta de usuário padrão em um sistema afetado poderia explorar essa vulnerabilidade para obter permissões root.

Isso permitiria acesso completo ao sistema, o que poderia levar a mais comprometimentos, como instalação de backdoors, roubo de dados confidenciais, mining de criptomoedas e muito mais. Considerando que muitos servidores rodam o Linux, o potencial de danos é enorme.

Além disso, a natureza fundamental da glibc significa que a falha afeta todas as distribuições Linux que a utilizam por padrão, incluindo algumas das mais populares como Fedora, Ubuntu, Debian e CentOS. Embora os usuários do Alpine Linux estejam seguros, a maioria dos ambientes Linux provavelmente é vulnerável.


Felizmente, correções estão disponíveis desde setembro. No entanto, os administradores de sistemas precisam atualizar manualmente a glibc instalada. Distribuições como Red Hat, Debian e Ubuntu também lançaram atualizações de segurança. Contudo, muitos sistemas ainda podem estar desprotegidos, especialmente infraestruturas antigas e não patchadas.

Mitigando a ameaça

Dada a gravidade dessa vulnerabilidade e o risco de exploits se espalharem, os administradores devem priorizar a aplicação de patches o mais rápido possível. As etapas incluem:

  • Identificar todos os sistemas que rodam distribuições Linux potencialmente afetadas, como Fedora, Ubuntu, Debian e variantes da Red Hat Enterprise Linux.
  • Aplicar as atualizações de segurança disponíveis para cada distribuição. Isso corrigirá a versão vulnerável da glibc.
  • Reiniciar os serviços e aplicações afetados para garantir que eles utilizem a versão corrigida da biblioteca.
  • Considerar a implementação de sistemas de detecção e prevenção de intrusos para identificar tentativas de exploração da vulnerabilidade. As assinaturas devem procurar pelo uso malicioso da variável GLIBC_TUNABLES.
  • Limitar o acesso à conta root e garantir que os binários SUID sejam reduzidos ao mínimo. Isso pode limitar o impacto de potenciais brechas.
  • Manter todos os softwares no Linux atualizados e aplicar patches de segurança assim que disponíveis. Sistemas desatualizados têm mais chances de serem comprometidos.

A vulnerabilidade Looney Tunables é um alerta sobre a necessidade de manter o Linux seguro e atualizado. Devido à natureza open source, falhas são descobertas com frequência e exploits são desenvolvidos rapidamente. Portanto, a aplicação rápida de patches de segurança é essencial.

Ao tomar medidas proativas para proteger suas infraestruturas Linux, as organizações podem reduzir drasticamente os riscos apresentados por essa e outras vulnerabilidades críticas. A segurança do Linux é uma responsabilidade compartilhada entre distribuidores, desenvolvedores e usuários finais.


Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui

Inscreva-se para mais como este.

Enter your email
Subscribe