Une vulnérabilité de corruption de mémoire dans la bibliothèque open source libcue peut permettre aux attaquants d’exécuter du code arbitraire sur les systèmes Linux exécutant l’environnement de bureau GNOME.
libcue, une bibliothèque conçue pour analyser les fichiers de feuilles de repères, est intégrée à l’indexeur de métadonnées de fichiers Tracker Miners, qui est inclus par défaut dans les dernières versions de GNOME.
Les feuilles de repère (ou fichiers CUE) sont des fichiers de texte brut contenant la disposition des pistes audio sur un CD, telles que la durée, le nom de la chanson et le musicien, et sont également généralement associées au format de fichier audio FLAC.
GNOME est un environnement de bureau largement utilisé sur diverses distributions Linux telles que Debian, Ubuntu, Fedora, Red Hat Enterprise et SUSE Linux Enterprise.
Les attaquants peuvent exploiter avec succès la faille en question (CVE-2023-43641) pour exécuter du code malveillant en profitant des Tracker Miners indexant automatiquement tous les fichiers téléchargés pour mettre à jour l’index de recherche sur les appareils GNOME Linux.
« En raison de la façon dont elle est utilisée par les trackers-miners, cette vulnérabilité dans libcue est devenue un RCE en 1 clic. Si vous utilisez GNOME, veuillez mettre à jour aujourd’hui, » a déclaré Kevin Backhouse, chercheur en sécurité sur GitHub.qui a trouvé le bug.
Afin d’exploiter cette vulnérabilité, l’utilisateur ciblé doit télécharger un fichier .CUE conçu de manière malveillante, qui est ensuite stocké dans le dossier ~/Downloads.
La faille de corruption de mémoire est déclenchée lorsque l’indexeur de métadonnées Tracker Miners analyse automatiquement le fichier enregistré via le processus d’extraction du tracker.
« Pour faire court, cela signifie qu’il suffit de cliquer par inadvertance sur un lien malveillant pour qu’un attaquant exploite CVE-2023-43641 et exécute du code sur votre ordinateur », a déclaré Backhouse.
Backhouse a fait une démonstration d’un exploit de validation de principe et partagé une vidéo via Twitter plus tôt dans la journée. Cependant, la sortie du PoC sera reportée pour donner le temps à tous les utilisateurs de GNOME de mettre à jour et de sécuriser leurs systèmes.
Bien que l’exploit PoC doive être peaufiné pour fonctionner correctement pour chaque distribution Linux, le chercheur a déclaré qu’il avait déjà créé des exploits ciblant les plates-formes Ubuntu 23.04 et Fedora 38 qui fonctionnent de manière « très fiable ».
« Lors de mes tests, j’ai constaté que le PoC fonctionne de manière très fiable lorsqu’il est exécuté sur la bonne distribution (et déclenche un SIGSEGV lorsqu’il est exécuté sur la mauvaise distribution) », a déclaré Backhouse.
« Je n’ai créé de PoC pour aucune autre distribution, mais je pense que toutes les distributions qui exécutent GNOME sont potentiellement exploitables. »
Bien que l’exploitation réussie de CVE-2023-43641 nécessite d’inciter une victime potentielle à télécharger un fichier .cue, il est conseillé aux administrateurs de corriger les systèmes et d’atténuer les risques posés par cette faille de sécurité, car elle permet l’exécution de code sur les appareils exécutant les dernières versions de distributions Linux largement utilisées, notamment Debian, Fedora et Ubuntu.
Backhouse a découvert d’autres failles de sécurité Linux graves ces dernières années, notamment un bug d’élévation de privilèges dans le gestionnaire d’affichage GNOME (gdm) et un contournement d’authentification dans le service système d’authentification polkit installé par défaut sur de nombreuses plates-formes Linux modernes.
Dans le même ordre d’idées, des exploits de preuve de concept ont déjà fait surface pour la faille de haute gravité Looney Tunables dans le chargeur dynamique de la bibliothèque GNU C, identifiée comme CVE-2023-4911permettant aux attaquants locaux d’obtenir les privilèges root sur les principales plates-formes Linux.