Zu den Themen dieser Woche gehören eine Race Condition im Linux-Subsystem Perf, Denial of Service in BIND und ein Rechner zur Risikobewertung, der auf der OWASP-Methode zur Risikobewertung basiert
Wettlaufbedingung im Linux Perf-Subsystem
Das Perf-Subsystem in Linux ist ein kernelbasiertes Subsystem, das einen Rahmen für die Analyse und Überwachung der Hardware- und Softwareleistung bietet. Es wurde ursprünglich in v2.6.31 in den Linux-Kernel integriert und verfügt über ein Userspace-Dienstprogramm (perf), das eine Schnittstelle zum Kernel-Subsystem bildet. Das Userspace-Perf-Tool kann Hardware-Ereignisse (Kontextwechsel und Anweisungen, die von den Registern in der CPU ausgeführt werden) und Software-Ereignisse (über Software-Zähler und Tracepoints) aufzeichnen, zählen und abtasten.
Die als CWE-362 klassifizierte Schwachstelle CVE-2022-1729 ist eine Race Condition im Syscall perf_event_open und wurde von Norbert Slusarek entdeckt. In der Manpage heißt es : "Ein Aufruf von perf_event_open() erzeugt einen Dateideskriptor, der die Messung von Leistungsinformationen ermöglicht. Jeder Dateideskriptor entspricht einem Ereignis, das gemessen wird; diese können gruppiert werden, um mehrere Ereignisse gleichzeitig zu messen."
Die Wettlaufbedingung scheint seit Kernel v4.0-rc1 vorhanden zu sein und könnte zu einer Privilegienerweiterung und beliebiger Codeausführung führen. Der Patch für diese Schwachstelle ist Teil des Linux-Kernel 5.17.10-rc1 Release-Zyklus.
Zusätzlich schlägt RedHat vor, die Variable kernel.perf_event_paranoid über sysctl auf '3' zu setzen, um unberechtigte Benutzer vom Zugriff auf das Perf-Subsystem im Kernel abzuhalten.
Denial of Service in BIND
Das ISC hat letzte Woche einen Sicherheitshinweis für eine schwerwiegende Sicherheitslücke veröffentlicht, die die BIND-Versionen 9.18.0 bis 9.18.2 und v9.19.0 des Entwicklungszweigs 9.19 betrifft. Die ursprünglich von Thomas Amgarten entdeckte Schwachstelle kann über ein Netzwerk ausgenutzt werden und wurde vom ISC mit einem CVSS-Score von 7,0 bewertet.
Ein erfolgreicher Exploit führt unter bestimmten Umständen dazu, dass der genannte Daemon mit einem Assertion-Fehler beendet wird (was zu einer Dienstverweigerung führt), wenn eine Client-TLS-Verbindung zum http-TLS-Listener zu früh abgebaut wird. Anfällige Systeme bestehen aus BIND-Servern, die DNS über HTTPS aktiviert haben und einen Verweis auf http innerhalb der listen-on-Anweisungen in ihren benannten Konfigurationen enthalten. Konfigurationen, die nur DNS über TLS verwenden, sind von dieser Schwachstelle laut dem Advisory nicht betroffen.
Derzeit sind keine Abhilfemaßnahmen bekannt, aber ISC hat empfohlen, ein Upgrade auf v9.18.3 auf dem stabilen bzw. v9.19.1 auf dem Entwicklungszweig durchzuführen, um das Problem zu beheben.
Rechner für Risikobewertung
Im Lebenszyklus des Schwachstellenmanagements ist es wichtig, die technischen und geschäftlichen Auswirkungen neuer Schwachstellen abzuschätzen, die die Infrastruktur eines Unternehmens beeinträchtigen können.
Bei der Risikobewertung werden verschiedene Faktoren berücksichtigt, wie z. B. die Wahrscheinlichkeit eines Angriffs, die Fähigkeiten des Angreifers und die Leichtigkeit der Entdeckung, um nur einige zu nennen.
Eine solche Methode von OWASP berechnet auf der Grundlage dieser Faktoren einen Gesamtrisikoschweregrad.
Ein Rechner zur Risikobewertung von Ivan Markovic, der auf der Risikobewertungsmethodik von OWASP basiert, ist als Open-Source-Tool verfügbar. Das Risiko wird wie folgt berechnet:
Risiko = Eintrittswahrscheinlichkeit * Auswirkung
In der obigen Formel hängt die Wahrscheinlichkeit der Ausbeutung von einer Reihe von Faktoren ab, bei denen weitere relevante Überlegungen berücksichtigt werden:
- Bedrohungsakteure: Qualifikationsniveau, Motiv, Gelegenheit und Größe der Bedrohungsakteure.
- Schwachstellenfaktoren: leichte Entdeckung und Ausnutzung, Bekanntheit der Schwachstelle und Erkennung der Schwachstelle durch ein Intrusion Detection System.
Zu den Faktoren, die die Gesamtauswirkungen einer Schwachstelle beeinflussen, gehören auch:
- Technische Auswirkungsfaktoren: Verlust von Vertraulichkeit, Integrität, Verfügbarkeit und Verantwortlichkeit für die Handlungen eines Bedrohungsakteurs.
- Geschäftsfaktoren: Finanzielle Schäden und Rufschädigung, Nichteinhaltung von Vorschriften und Verletzung der Privatsphäre.
Die Gesamtrisikobewertung einer Schwachstelle ermöglicht es den Verantwortlichen, eine fundierte Entscheidung zu treffen, und hilft bei der Festlegung von Prioritäten für das Patchen.
Der Quellcode des Rechners ist auf github zu finden, weitere Details zur Risikobewertungsmethodik von OWASP finden Sie hier.
Kommentare