Sistem operasi Linux yang menggunakan lingkungan desktop GNOME mungkin terancam oleh serangan jahat yang dapat mengeksekusi kode sembarang pada perangkat mereka. Hal ini disebabkan oleh adanya kerentanan korupsi memori pada libcue, sebuah pustaka sumber terbuka yang dirancang untuk mengurai file cue sheet.
File cue sheet (atau file CUE) adalah file teks biasa yang berisi tata letak trek audio pada CD, seperti panjang, nama lagu, dan musisi, dan biasanya juga dipasangkan dengan format file audio FLAC. GNOME adalah lingkungan desktop yang banyak digunakan di berbagai distribusi Linux seperti Debian, Ubuntu, Fedora, Red Hat Enterprise, dan SUSE Linux Enterprise.
Kerentanan ini diberi nomor CVE-2023-43641 dan ditemukan oleh peneliti keamanan GitHub Kevin Backhouse, yang mengatakan bahwa libcue terintegrasi dengan Tracker Miners, sebuah pengindeks metadata file yang termasuk secara default dalam versi GNOME terbaru. Tracker Miners secara otomatis mengindeks semua file yang diunduh untuk memperbarui indeks pencarian pada perangkat Linux GNOME.
“Karena cara penggunaannya oleh tracker-miners, kerentanan ini pada libcue menjadi RCE 1-klik. Jika Anda menggunakan GNOME, silakan perbarui hari ini,” kata Backhouse penembu bug ini.
Untuk mengeksploitasi kerentanan ini, pengguna yang disasar harus mengunduh file .CUE yang dibuat secara jahat, yang kemudian disimpan di folder ~/Downloads. Kerentanan korupsi memori dipicu ketika pengindeks metadata Tracker Miners mengurai file yang disimpan secara otomatis melalui proses tracker-extract.
“Singkat cerita, itu berarti bahwa tanpa sengaja mengklik tautan jahat sudah cukup bagi penyerang untuk mengeksploitasi CVE-2023-43641 dan mendapatkan eksekusi kode di komputer Anda,” kata Backhouse.
Backhouse mendemonstrasikan eksploitasi bukti konsep dan membagikan video melalui Twitter beberapa hari lalu. Namun, rilis PoC akan ditunda untuk memberikan waktu bagi semua pengguna GNOME untuk memperbarui dan mengamankan sistem mereka.
Meskipun eksploitasi PoC membutuhkan penyesuaian untuk bekerja dengan baik untuk setiap distro Linux, peneliti tersebut mengatakan bahwa ia telah membuat eksploitasi yang menargetkan platform Ubuntu 23.04 dan Fedora 38 yang bekerja “sangat andal”.
“Dalam pengujian saya, saya telah menemukan bahwa PoC bekerja sangat andal ketika dijalankan pada distribusi yang benar (dan akan memicu SIGSEGV ketika dijalankan pada distribusi yang salah),” kata Backhouse. “Saya belum membuat PoC untuk distribusi lain, tetapi saya percaya bahwa semua distribusi yang menjalankan GNOME berpotensi dapat dieksploitasi.”
Meskipun eksploitasi berhasil dari CVE-2023-43641 membutuhkan menipu korban potensial untuk mengunduh file .cue, admin disarankan untuk memperbaiki sistem dan mengurangi risiko yang ditimbulkan oleh cacat keamanan ini, karena memberikan eksekusi kode pada perangkat yang menjalankan rilis terbaru dari distro Linux yang banyak digunakan, termasuk Debian, Fedora, dan Ubuntu.
Backhouse telah menemukan beberapa cacat keamanan Linux parah dalam beberapa tahun terakhir, termasuk bug eskalasi hak istimewa di GNOME Display Manager (gdm) dan bypass otentikasi di layanan sistem auth polkit yang dipasang secara default di banyak platform Linux modern.
