Cyber Defense Experte entdeckt Schwachstelle im Linux Audit-Framework

Um unseren Kunden mit fachlicher Expertise und aktuellem Wissen beiseite zu stehen, befassen sich unsere Cyber Defense Experten auch mit tiefgreifenden Fragestellungen und werden obligatorisch auf die unterschiedlichsten Produkte geschult.

Im Rahmen einer solchen tiefgreifenden Recherche im Linux Audit-Framework (Auditd) haben wir dabei eine nicht unwesentliche Schwachstelle entdeckt.

Nach gründlicher Evaluierung haben wir festgestellt, dass die Überwachung von Dateien umgangen werden kann, wenn ausreichend Berechtigungen vorliegen. Konkret muss der Nutzer über die CAP_DAC_READ_SEARCH Capability verfügen. Dies trifft typischerweise auf den Administrator Account „root“ zu. Unter diesen Voraussetzungen kann der Nutzer Dateien mit dem „open_by_handle_at“ Syscall öffnen und diese anschließend beliebig auslesen und modifizieren, ohne dass ein Eintrag in dem Auditd-Log generiert wird. Wir haben die Ausnutzbarkeit der Schwachstelle auf CentOS7, CentOS8 und Ubuntu16.04 verifiziert.

Die Schwachstelle wurde dem Hersteller RedHat, Inc. Mitte November 2020 mitgeteilt. Gemäß der üblichen Disclosure-Praxis haben wir dem Hersteller 90 Tage zum Beheben der Schwachstelle eingeräumt. Das beschriebene Problem ist unter der CVE-2020-35501 veröffentlicht.

Zur Absicherung unserer Kunden sind unsere Mitarbeiter tief technisch in sämtliche Prozesse eingebunden. Eine Schwachstelle wie die oben genannte ist somit ein wichtiges Indiz für die gewissenhafte Arbeit unserer Cyber Defense Experten.

Für nähere Informationen zur Entdeckung der Schwachstellen sowie mögliche Gegenmaßnahmen treten Sie gern mit uns in Kontakt.