Os tópicos no resumo desta semana incluem uma condição racial no subsistema Linux Perf, negação de serviço no BIND e uma calculadora de avaliação de risco baseada na metodologia de classificação de risco da OWASP
Condição da corrida no subsistema Linux Perf
O subsistema Perf no Linux é um subsistema baseado no kernel que fornece um quadro para a análise e monitorização do desempenho de hardware e software. Foi originalmente fundido no kernel do Linux na v2.6.31 e tem um utilitário de espaço do utilizador (perf) que faz interface com o subsistema do kernel. A ferramenta userspace perf pode registar, contar,b e amostrar os eventos de hardware (interruptores de contexto e instruções executadas pelos registos na CPU), e eventos de software (através de contadores de software e tracepoints).
A vulnerabilidade CVE-2022-1729 classificada como CWE-362 é uma condição de raça na chamada aberta ao evento e foi descoberta por Norbert Slusarek. De acordo com a página de homem, "Uma chamada para perf_event_open() cria um descritor de ficheiro que permite medir a informação de desempenho. Cada descritor de ficheiro corresponde a um evento que é medido; estes podem ser agrupados para medir vários eventos simultaneamente".
A condição racial parece estar presente desde o kernel v4.0-rc1, e poderia resultar em escalada de privilégios e execução arbitrária do código. A correcção para esta vulnerabilidade faz parte do ciclo de lançamento do kernel 5.17.10-rc1 do Linux.
Adicionalmente, um método de mitigação da RedHat sugere a definição da variável kernel.perf_event_paranoid para '3' via sysctl, para restringir o acesso de utilizadores não privilegiados ao subsistema Perf no kernel.
Negação de serviço em BIND
O ISC lançou um alerta de segurança na semana passada para uma vulnerabilidade de alta gravidade que afecta as versões 9.18.0 a 9.18.2 e v9.19. 0 do ramo de desenvolvimento 9.19. A vulnerabilidade, originalmente descoberta por Thomas Amgarten, é explorável através de uma rede e tem uma pontuação CVSS atribuída de 7.0 pelo ISC.
Uma exploração bem sucedida sob certas circunstâncias faz com que o daemon nomeado termine com uma falha de afirmação (levando à negação de serviço) se uma ligação TLS do cliente ao ouvinte TLS http for destruída demasiado cedo. Os sistemas vulneráveis consistem em servidores BIND que têm o DNS sobre HTTPS activado e incluem uma referência a http nas declarações de escuta nas suas configurações nomeadas. As configurações que utilizam apenas DNS sobre TLS não são afectadas por esta vulnerabilidade, de acordo com o aconselhamento.
Actualmente, não se conhecem quaisquer soluções, mas o ISC aconselhou a actualização para v9.18.3 nos ramos estáveis e v9.19.1 nos ramos de desenvolvimento, respectivamente, para mitigação.
Calculadora de Avaliação de Riscos
No ciclo de vida da gestão da vulnerabilidade, é importante estimar o impacto técnico e empresarial associado às novas vulnerabilidades que podem afectar a infra-estrutura de uma organização.
As metodologias de avaliação de risco têm em conta vários factores, tais como a probabilidade de exploração, o nível de habilidade do adversário e a facilidade de descoberta, para citar alguns.
Uma dessas metodologias da OWASP calcula uma gravidade global do risco com base nestes factores.
Uma calculadora de avaliação de risco de Ivan Markovic, baseada na metodologia de classificação de risco da OWASP, está disponível como uma ferramenta de código aberto. O risco é calculado como:
Risco = Probabilidade * Impacto
Na fórmula acima referida, a probabilidade de exploração depende de dois factores que levam em conta considerações relevantes:
- Agente de ameaça: nível de perícia; motivo, oportunidade; e dimensão dos agentes de ameaça.
- Factores de vulnerabilidade: facilidade de descoberta e exploração; consciência da vulnerabilidade; e detecção de exploração por um Sistema de Detecção de Intrusão.
Do mesmo modo, os factores que afectam o impacto global de uma vulnerabilidade incluem:
- Factores de impacto técnico: perda de confidencialidade, integridade, disponibilidade e responsabilidade pelas acções de um actor ameaçador.
- Factores comerciais: danos financeiros e à reputação; não cumprimento; e violações da privacidade.
Como tal, a pontuação de risco global de uma vulnerabilidade permite aos proprietários tomar uma decisão informada e ajuda a dar prioridade à aplicação de correcções.
O código fonte da calculadora pode ser encontrado no github, e mais detalhes sobre a metodologia de avaliação de risco da OWASP estão disponíveis aqui.
Comentários