Um unseren Kunden mit fachlicher Expertise und aktuellem Wissen beiseite zu stehen, befassen sich unsere Cyber Defense Experten auch mit tiefgreifenden Fragestellungen und werden obligatorisch auf die unterschiedlichsten Produkte geschult.<\/p>\n
Im Rahmen einer solchen tiefgreifenden Recherche im Linux Audit-Framework (Auditd) haben wir dabei eine nicht unwesentliche Schwachstelle entdeckt.<\/p>\n
Nach gr\u00fcndlicher Evaluierung haben wir festgestellt, dass\u00a0die \u00dcberwachung von Dateien umgangen\u00a0werden kann,\u00a0wenn ausreichend Berechtigungen\u00a0vorliegen. Konkret muss der Nutzer \u00fcber die\u00a0CAP_DAC_READ_SEARCH\u00a0<\/em>Capability verf\u00fcgen. Dies trifft typischerweise auf den\u00a0Administrator Account\u00a0„root“<\/em>\u00a0zu. Unter diesen Voraussetzungen kann der Nutzer\u00a0Dateien mit\u00a0dem\u00a0„open_by_handle_at“<\/em>\u00a0Syscall\u00a0\u00f6ffnen\u00a0und diese anschlie\u00dfend\u00a0beliebig auslesen und modifizieren,\u00a0ohne dass ein Eintrag in dem\u00a0Auditd-Log\u00a0generiert wird. Wir haben die Ausnutzbarkeit der Schwachstelle auf\u00a0CentOS7, CentOS8<\/em>\u00a0und\u00a0Ubuntu16.04<\/em>\u00a0verifiziert.<\/p>\n Die\u00a0Schwachstelle\u00a0wurde dem\u00a0Hersteller\u00a0RedHat, Inc<\/em>. Mitte November\u00a02020 mitgeteilt.\u00a0Gem\u00e4\u00df\u00a0der \u00fcblichen\u00a0Disclosure-Praxis\u00a0haben wir dem Hersteller\u00a090 Tage zum Beheben der Schwachstelle\u00a0einger\u00e4umt.\u00a0Das beschriebene Problem\u00a0ist unter der CVE-2020-35501 <\/em><\/a>ver\u00f6ffentlicht.<\/p>\n Zur Absicherung unserer Kunden sind unsere Mitarbeiter tief technisch in s\u00e4mtliche Prozesse eingebunden. Eine Schwachstelle wie die oben genannte ist somit ein wichtiges Indiz f\u00fcr die gewissenhafte Arbeit unserer Cyber Defense Experten.<\/p>\n