Linux-Kernel: Angreifer attackieren ältere Sicherheitslecks
Sicherheitslücken im Linux-Kernel stehen im Visier von Angreifern und werden aktiv mißbraucht. Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Wer noch mit älterem Kernel unterwegs ist, sollte rasch auf aktuellen Stand aktualisieren.
In einer Benachrichtigung nennt die CISA lediglich die CVE-Schwachstelleneinträge der attackierten Sicherheitslücken. Informationen zu den Attacken selbst fehlen vollständig. Unklar ist daher der Umfang der Angriffe und etwa, mit welchem Ziel die bösartigen Akteure agieren.
Beide Schwachstellen finden sich im ALSA-Audio-Code. Ende Dezember haben die Linux-Entwickler potenzielle Zugriffe außerhalb vorgesehener Speicherbereiche durch den ALSA-USB-Support für Extigy- und Mbox-Geräte behoben. Manipulierte Geräte konnten zuvor manipulierte Werte zurückliefern, deren weitere Nutzung zu solchen Zugriffen außerhalb der Speichergrenzen etwa bei der Ausführung der Funktion usb_destroy_configuration und offenbar der Ausführung eingeschleusten Codes führt (CVE-2024-53197, kein CVSS).
Auch die zweite angegriffene Lücke findet sich im ALSA-Stack (Advanced Linux Sound Architecture). Bei der Suche nach Clock-Sources können Lesezugriffe außerhalb der Speichergrenzen auftreten, da der USB-Audio-Treiber-Code die Länge der Struktur bLength von Clock-Deskriptoren nicht geprüft hatte. Manipulierte Geräte können hier Werte übergeben, die die Schwachstelle auslösen (CVE-2024-53150, CVSS 7.8, Risiko "hoch"). Auch diese Schwachstelle wurde in diversen Kernel-Zweigen rund um die vergangenen Weihnachten ausgebessert.
Aufgrund der Schwachstellenbeschreibung läßt sich erahnen, daß Angreifer möglicherweise verwundbare Systeme übernommen haben, indem sie daran arbeitenden Personen manipulierte USB-Hardware untergeschoben haben. Es ist jedoch nicht auszuschließen, daß der verwundbare Code auf anderen Wegen angesprungen werden kann. Da jedwede konkreten Hinweise zu den beobachteten Angriffen fehlen, läßt sich nicht ableiten, wie attackierte Systeme zu erkennen sind.
Aktualisierte Kernel sind seit Ende vergangenen Jahres verfügbar. IT-Verantwortliche sollten sicherstellen, auf Rechnern und weitere Hardware mit Linux-Kerneln, etwa NAS-Systemen, aktuellere Kernel-Versionen einzusetzen und bereitstehende Aktualisierungen zügig anzuwenden.