Falha grave não autenticada de RCE (CVSS 9.9) em sistemas GNU/Linux aguardando divulgação completa

A vulnerabilidade, que permite execução remota de código (RCE) não autenticada, foi reconhecida por grandes players da indústria, como Canonical e Red Hat, que confirmaram sua gravidade com uma pontuação CVSS de 9,9 em 10.
Margaritelli divulgou a existência da vulnerabilidade há aproximadamente três semanas, mas reteve detalhes específicos para dar tempo aos desenvolvedores de resolver o problema. Apesar disso, não há nenhuma correção funcional disponível no momento. Discussões entre o pesquisador e os desenvolvedores levaram a um cronograma acordado para divulgação:

• 30 de setembro : Divulgação inicial para a lista de discussão de segurança do Openwall.
• 6 de outubro : Divulgação pública completa dos detalhes da vulnerabilidade.

Curiosamente, houve um atraso na atribuição de identificadores Common Vulnerabilities and Exposures (CVE) a esse problema. Margaritelli sugere que deve haver pelo menos três CVEs atribuídos, possivelmente até seis, devido à natureza multifacetada das vulnerabilidades envolvidas.

A Canonical e a Red Hat não apenas confirmaram a alta gravidade da vulnerabilidade, mas também estão trabalhando ativamente na avaliação de seu impacto e no desenvolvimento de patches. No entanto, alguns desenvolvedores estão supostamente debatendo o impacto de segurança de certos aspectos das vulnerabilidades, o que pode estar contribuindo para o atraso no lançamento de uma correção.

A falta de informações detalhadas deixou tanto usuários individuais quanto especialistas em segurança em um estado de preocupação elevada. Sem saber quais componentes, funções ou versões específicas são afetadas, as organizações não conseguem tomar medidas proativas para proteger seus sistemas.

Além disso, a ausência de atribuições de CVE levanta questões sobre a coordenação e a comunicação entre pesquisadores de segurança, fornecedores e organizações responsáveis ​​pela enumeração de vulnerabilidades.

Embora uma pontuação CVSS de 9,9 indique gravidade crítica, é importante abordar a situação com uma perspectiva equilibrada. Nem todas as vulnerabilidades de alta gravidade são facilmente exploráveis ​​em cenários do mundo real. Por exemplo:

• CVE-2024-7589 : Uma vulnerabilidade de execução remota de código SSH inicialmente pontuada em 9,8 foi posteriormente reavaliada para 8,1 devido à dificuldade de exploração.
• CVE-2024-38063 : Uma vulnerabilidade RCE do sistema Windows com uma pontuação CVSS de 9,8 atraiu bastante atenção, mas foi considerada muito difícil de explorar após análise completa por especialistas em segurança.

Esses exemplos destacam a importância da análise técnica detalhada para entender completamente o impacto de uma vulnerabilidade.

Enquanto aguardam a divulgação completa e os patches subsequentes, usuários e administradores devem:

Prepare-se para a rápida implantação de patches assim que eles estiverem disponíveis.

Mantenha-se informado acompanhando atualizações de fontes confiáveis ​​de notícias de segurança e comunicações oficiais de fornecedores.

Revise e aprimore as medidas de segurança existentes, como firewalls e sistemas de detecção de intrusão.