LinuxNimbuspwn漏洞可能允许攻击者部署复杂的威胁,攻击者可以利用此漏洞执行各种恶意活动,包括部署恶意软件。根据微软发布的公告,这些漏洞可以串联起来在Linux系统上获得root权限,允许攻击者部署root后门等payload,执行任意root代码,从而达到运行其他恶意操作的目的。这些漏洞被利用以获得对目标系统的根访问权限并部署更复杂的威胁,例如勒索软件。这些漏洞存在于一个名为networked-dispatcher的systemd组件中,该组件是调度系统网络连接状态变化的守护进程。对网络调度程序代码流的审查揭示了多个安全问题,包括目录遍历、符号链接竞争和检查使用时间竞争条件。研究人员开始列举以root身份运行并在系统总线上侦听消息的服务,并进行代码审查和动态分析。将这些问题放在一起,即使在最终妥协的情况下,控制可以发送任意信号的D-Bus服务的攻击者也可以部署后门。研究人员能够开发自己的漏洞利用程序以root身份运行任意脚本。该漏洞利用还将/bin/sh复制到/tmp目录,将/tmp/sh设置为Set-UID(SUID)可执行文件,并调用“/tmp/sh-p”。(“-p”标志是强制shell不放弃特权所必需的)。作为回应,研究人员建议networkd-dispatcher的用户更新他们的安装。为了解决当前存在的特定漏洞,MicrosoftDefenderforEndpoint的端点检测和响应(EDR)功能需要能够检测到利用Nimbuspwn所需的目录遍历攻击。参考来源:https://securityaffairs.co/wordpress/130662/hacking/nimbuspwn-linux-flaws.html
