Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Rilevate vulnerabilità in Needrestart (AL03/241121/CSIRT-ITA) – Aggiornamento

Data:
10 Dicembre 2024 11:00

Data di creazione: 21/11/2024 – 14:20

Sintesi

Rilevate 5 vulnerabilità di sicurezza, di cui 4 con gravità “alta”, in Needrestart, utilità installata di default nei server Ubuntu, utilizzata per determinare se è necessario un riavvio del sistema o dei suoi servizi. Tali vulnerabilità, qualora sfruttate, potrebbero consentire l’esecuzione di comandi arbitrari sui sistemi interessati.

Note (aggiornamento del 10/12/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-48990 risulta disponibile in rete.

Rischio (aggiornato al 10/12/2024)

Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (76,66/100)1.

Tipologia

  • Arbitrary Code Execution
  • Privilege Escalation

Descrizione e potenziali impatti

Needrestart è una utility che monitora il sistema per determinare se è necessario un riavvio del sistema o di uno o più servizi. In particolare, tale utility interviene qualora i servizi da riavviare utilizzino librerie condivise obsolete, come nel caso in cui una libreria risulta sostituita in seguito a un package update.

Ricercatori di sicurezza hanno recentemente rilasciato un report dettagliato in cui sono descritte 5 vulnerabilità che potrebbero comportare l’esecuzione di codice arbitrario sui sistemi interessati, sfruttando Needrestart qualora l’applicazione risulti in esecuzione durante l’installazione o l’upgrade di pacchetti. Questo porta a notevoli rischi di sicurezza che dovrebbero essere mitigati rapidamente tramite aggiornamento o disabilitando la funzione vulnerabile.

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Prodotti e versioni affette

  • Needrestart, dalla versione 0.8 alla 3.8 (esclusa)

Azioni di mitigazione

Si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Ove non possibile, si raccomanda di valutare l’implementazione delle mitigazioni descritte nel bollettino di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-48990

CVE-2024-48991

CVE-2024-48992

CVE-2024-11003

Riferimenti

https://www.qualys.com/2024/11/19/needrestart/needrestart.txt

https://ubuntu.com/blog/needrestart-local-privilege-escalation

https://github.com/liske/needrestart

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.