GNOME Tracker Miners の脆弱性 CVE-2023-43641 が FIX：１クリックで RCE にいたる

GNOME Linux systems exposed to RCE attacks via file downloads

2023/10/09 BleepingComputer — GNOME デスクトップ環境を実行している Linux システム上の、オープンソース libcue ライブラリに存在するメモリ破壊の脆弱性により、攻撃者に任意のコード実行を許す可能性がある。libcue は、Cue Sheet File を解析するために設計されたライブラリであり、Tracker Miners File Metadata Indexer に統合され、最新の GNOME バージョンではデフォルトとして取り込まれている。Cue Sheet (CUE) ファイルは、CD のオーディオ・トラックの長さ／曲名／ミュージシャンなどのレイアウトを取り込んだプレーン・テキスト・ファイルであり、通常は 、FLAC オーディオ・ファイル・フォーマットとペアになっている。

GNOME のデスクトップ環境は、Debian／Ubuntu／Fedora／Red Hat Enterprise／SUSE Linux Enterprise などの、各種の Linux ディストリビューションで広く使用されている。

そのため、ダウンロードされた全てのファイルに対して、自動的にインデックスを作成する Tracker Miners を介して、この脆弱性 CVE-2023-43641 の悪用に成功した攻撃者は、GNOME Linux デバイス上の検索インデックスを更新することで、悪意のコードを実行する可能性を持つことになる。

このバグを発見した GitHub のセキュリティ研究者である Kevin Backhouse は、「この Tracker Miners の用方により、libcue の脆弱性は１クリック RCE となる。GNOME を使用している場合には、直ちにアップデートしてほしい」と述べている。

ただし、この脆弱性を悪用するには、悪意を持って細工された .CUE ファイルを、標的となるユーザーがダウンロードし、それを “~/Downloads” フォルダに保存する必要がある。

このメモリ破壊の脆弱性は、Tracker Miners のメタデータ・インデクサーが、tracker-extract プロセスを通じて、保存されたファイルを自動的に解析する際に誘発される。

Backhouse は、「手短に説明すると、攻撃者が CVE-2023-43641 を悪用してコンピュータ上でコードを実行するために必要なのは、不注意により、悪意のリンクをクリックすることだけだ」と述べている。

本日の未明に Backhouse は、Twitter でビデオを共有することで、PoC エクスプロイトを共有している。しかし、この PoC のリリースに関しては、すべての GNOME ユーザーがシステムをアップデートし、安全を確認する時間の確保のために、延期される予定である。

この PoC エクスプロイトは、各 Linux ディストリビューションに合わせて、動作を調整する必要があるが、「きわめてに確実に動作する、Ubuntu 23.04／Fedora 38 プラットフォームをターゲットにして、すでにエクスプロイトを作成した私のテストでは、この PoC は正しいディストリビューションで実行すると、きわめて確実に動作することがわかった。また、間違ったディストリビューションで実行すると、セグメント不正が生じて、SIGSEGV がトリガーされることもわかった。他のディストリビューション用の PoC は作成していないが、GNOME を実行している環境であれば、悪用の可能性があると確信している」と述べている。

前述のとおり、この脆弱性 CVE-2023-43641 を悪用するためには、潜在的な被害者を騙して.cue ファイルをダウンロードさせる必要がある。しかし、Debian／Fedora／Ubuntu などの、広く使われている Linux ディストリビューションの最新バージョンでコードが実行されるという、深刻な結果をもたらすことも分かっている。そのため、管理者は、システムに直ちにパッチを適用し、リスクを軽減する必要がある。

なお、数年において Backhouse氏 は、最新 Linux プラットフォームのデフォルトである、GNOME Display Manager (gdm) の特権昇格バグや、polkit auth システム・サービスの認証バイパスの脆弱性などの、深刻な Linux セキュリティ欠陥を発見している。

関連ニュースであるが、GNU Cライブラリのダイナミック・ローダーに存在する、脆弱性 Looney Tunables CVE-2023-4911 の、PoC エクスプロイトがすでに表面化しており、この脆弱性の悪用に成功したローカル攻撃者は、主要な Linux プラットフォーム上で root 権限を獲得できると指摘されている。

GNOME デスクトップの libcue に存在する、ゼロデイ脆弱性 CVE-2023-43641 が公表されました。また、エクスプロイトを証明する動画が提供されていますが、PoC エクスプロイトのリリースは、まだ先とのことです。ワンクリックで悪用が可能とされていますので、ご利用のチームは、迅速なパッチ適用が必要です。