Os tópicos no resumo desta semana incluem uma condição de corrida no subsistema Linux Perf, negação de serviço no BIND e uma calculadora de avaliação de risco baseada na metodologia de classificação de risco da OWASP.
Condição da corrida no subsistema Linux Perf
O subsistema Perf no Linux é um subsistema baseado no kernel que fornece uma estrutura para análise e monitoramento de desempenho de hardware e software. Ele foi originalmente incorporado ao kernel do Linux na versão 2.6.31 e tem um utilitário de espaço do usuário (perf) que faz interface com o subsistema do kernel. A ferramenta userspace perf pode registrar, contar, b e amostrar os eventos de hardware (interruptores de contexto e instruções executadas pelos registros na CPU), e eventos de software (através de contadores de software e tracepoints).
A vulnerabilidade CVE-2022-1729 classificada como CWE-362 é uma condição de corrida na chamada aberta do perf_event_open syscall e foi descoberta por Norbert Slusarek. De acordo com a página de homem, "Uma chamada para perf_event_open() cria um descritor de arquivo que permite medir informações de desempenho. Cada descritor de arquivo corresponde a um evento que é medido; estes podem ser agrupados para medir vários eventos simultaneamente".
A condição racial parece estar presente desde o kernel v4.0-rc1, e poderia resultar em escalada de privilégios e execução arbitrária do código. A correção para esta vulnerabilidade faz parte do ciclo de lançamento do kernel 5.17.10-rc1 do Linux.
Além disso, um método de mitigação da RedHat sugere configurar a variável kernel.perf_event_paranoid para '3' via sysctl, para restringir o acesso de usuários sem privilégios ao subsistema Perf no kernel.
Negação de serviço em BIND
O ISC lançou um alerta de segurança na semana passada para uma vulnerabilidade de alta gravidade que afeta as versões 9.18.0 até 9.18.2 e v9.19. 0 do ramo de desenvolvimento 9.19. A vulnerabilidade, originalmente descoberta por Thomas Amgarten, é explorável através de uma rede e tem uma pontuação CVSS atribuída de 7,0 pelo ISC.
Uma exploração bem sucedida sob certas circunstâncias faz com que o daemon nomeado termine com uma falha de afirmação (levando à negação de serviço) se uma conexão TLS do cliente ao ouvinte TLS http for destruída muito cedo. Os sistemas vulneráveis consistem em servidores BIND que têm o DNS sobre HTTPS habilitado e incluem uma referência ao http dentro das declarações de escuta em suas configurações nomeadas. As configurações que usam DNS apenas sobre TLS não são afetadas por esta vulnerabilidade, conforme o alerta.
Atualmente, não se conhecem soluções, mas o ISC aconselhou a atualização para a v9.18.3 nos ramos estáveis e v9.19.1 nos ramos de desenvolvimento, respectivamente, para mitigação.
Calculadora de avaliação de risco
No ciclo de vida do gerenciamento de vulnerabilidades, é importante estimar o impacto técnico e comercial associado às novas vulnerabilidades que podem afetar a infra-estrutura de uma organização.
As metodologias de avaliação de risco levam em conta vários fatores, como a probabilidade de exploração, o nível de habilidade do adversário e a facilidade de descoberta, para citar alguns.
Uma dessas metodologias da OWASP calcula uma gravidade geral de risco com base nesses fatores.
Uma calculadora de avaliação de risco de Ivan Markovic, baseada na metodologia de classificação de risco da OWASP, está disponível como uma ferramenta de código aberto. O risco é calculado como:
Risco = Probabilidade * Impacto
Na fórmula acima, a probabilidade de exploração depende de alguns fatores que levam em conta considerações relevantes:
- Agente de ameaça: nível de habilidade; motivo, oportunidade; e tamanho dos agentes de ameaça.
- Fatores de vulnerabilidade: facilidade de descoberta e exploração; consciência da vulnerabilidade; e detecção de exploração por um Sistema de Detecção de Intrusão.
Da mesma forma, os fatores que afetam o impacto geral de uma vulnerabilidade incluem:
- Fatores de impacto técnico: perda de confidencialidade, integridade, disponibilidade e responsabilidade pelas ações de um ator ameaçador.
- Fatores comerciais: danos financeiros e à reputação; não conformidade; e violações da privacidade.
Como tal, a pontuação geral de risco de uma vulnerabilidade permite aos proprietários tomar uma decisão informada e ajuda a priorizar a aplicação de patches.
O código fonte da calculadora pode ser encontrado no github, e mais detalhes sobre a metodologia de avaliação de risco da OWASP estão disponíveis aqui.
Comentários