آسیب‌پذیری بحرانی در ابزار needrestart: CVE-2024-48990

ابزار needrestart که در بسیاری از توزیع‌های لینوکس برای بررسی نیاز به راه‌اندازی مجدد سرویس‌ها پس از به‌روزرسانی کتابخانه‌ها استفاده می‌شود، اخیراً با آسیب‌پذیری بحرانی CVE-2024-48990 مواجه شده است. این آسیب‌پذیری به مهاجمان محلی امکان می‌دهد تا با سوءاستفاده از متغیر محیطی PYTHONPATH، کد دلخواه خود را با دسترسی root اجرا کنند.

جزئیات آسیب‌پذیری

• شناسه آسیب‌پذیری: CVE-2024-48990

• تأثیر: اجرای کد دلخواه با دسترسی root توسط مهاجم محلی

• نسخه‌های آسیب‌پذیر: نسخه‌های قبل از ۳.۸ ابزار 

• بردار حمله: محلی (نیاز به دسترسی فیزیکی یا از راه دور با دسترسی محدود)

• امتیاز CVSS: ۷.۸ از ۱۰ (سطح خطر بالا)

این آسیب‌پذیری به دلیل عدم بررسی مناسب متغیر محیطی PYTHONPATH در هنگام اجرای مفسر پایتون توسط needrestart رخ می‌دهد. مهاجم می‌تواند با تنظیم این متغیر به مسیر دلخواه، کد مخرب خود را به‌عنوان کتابخانه پایتون بارگذاری کرده و با دسترسی root اجرا کند.

اثبات مفهومی (PoC)

مخزن GitHub به آدرس makuga01/CVE-2024-48990-PoC یک اثبات مفهومی برای این آسیب‌پذیری ارائه داده است. این PoC شامل اسکریپت‌هایی است که با اجرای آن‌ها، یک کتابخانه پایتون مخرب ساخته شده و منتظر اجرای needrestart توسط کاربر root می‌ماند. پس از اجرا، مهاجم به یک shell با دسترسی root دست می‌یابد.

توصیه‌های امنیتی

1. به‌روزرسانی ابزار needrestart: اطمینان حاصل کنید که از نسخه ۳.۸ یا جدیدتر استفاده می‌کنید.

2. محدودسازی دسترسی‌ها: دسترسی کاربران با سطح دسترسی محدود به متغیرهای محیطی حساس مانند PYTHONPATH را کنترل و محدود کنید.

3. نظارت بر سیستم: فعالیت‌های مشکوک و اجرای غیرمجاز کدها را به‌صورت مستمر پایش کنید.

4. آموزش کاربران: کاربران را نسبت به خطرات استفاده از ابزارهای سیستمی و اهمیت به‌روزرسانی آن‌ها آگاه سازید.

دانلود از منبع اصلی