Una vulnerabilità di corruzione della memoria nella libreria open-source libcue può permettere agli aggressori di eseguire codice arbitrario sui sistemi Linux che utilizzano l’ambiente desktop GNOME.
Dettagli della vulnerabilità
La libreria libcue, progettata per analizzare i file cue sheet, è integrata nell’indicizzatore di metadati dei file Tracker Miners, incluso di default nelle ultime versioni di GNOME. I cue sheet sono file di testo semplice che contengono la disposizione delle tracce audio su un CD, come lunghezza, nome del brano e musicista, e sono tipicamente associati al formato audio FLAC. GNOME è un ambiente desktop ampiamente utilizzato in varie distribuzioni Linux come Debian, Ubuntu, Fedora, Red Hat Enterprise e SUSE Linux Enterprise.
Gli aggressori possono sfruttare con successo la falla in questione (CVE-2023-43641) per eseguire codice malevolo approfittando dell’indicizzazione automatica di Tracker Miners di tutti i file scaricati per aggiornare l’indice di ricerca sui dispositivi Linux GNOME.
Kevin Backhouse, ricercatore di sicurezza di GitHub che ha scoperto il bug, ha dichiarato: “A causa del modo in cui viene utilizzato da tracker-miners, questa vulnerabilità in libcue è diventata un RCE con un solo clic. Se si utilizza GNOME, si prega di aggiornare oggi”.
Modalità di attacco
Per sfruttare questa vulnerabilità, l’utente bersaglio deve scaricare un file .CUE creato con intenti malevoli, che viene poi archiviato nella cartella ~/Downloads. La falla di corruzione della memoria viene attivata quando l’indicizzatore di metadati Tracker Miners analizza automaticamente il file salvato tramite il processo tracker-extract.
Backhouse ha dimostrato un exploit di prova su concetto e ha condiviso un video via Twitter. Tuttavia, la pubblicazione dell’exploit sarà posticipata per dare tempo a tutti gli utenti GNOME di aggiornare e proteggere i loro sistemi.
Raccomandazioni
Sebbene l’exploit di successo del CVE-2023-43641 richieda di ingannare una potenziale vittima nel download di un file .cue, si consiglia agli amministratori di applicare le patch ai sistemi e di mitigare i rischi posti da questa falla di sicurezza, poiché fornisce l’esecuzione del codice sui dispositivi che eseguono le ultime versioni di distribuzioni Linux ampiamente utilizzate, tra cui Debian, Fedora e Ubuntu.