Um investigador de segurança anónimo encontrou várias vulnerabilidades no Beep, uma ferramenta de linha de comando do Linux, incluindo uma falha grave introduzida por um patch para uma vulnerabilidade de escalonamento de privilégios.
O Beep é uma pequena ferramenta open-source usada no passado por developers Linux para produzir um bipe com o alti-falante interno do computador, permitindo assim que os utilizadores controlem o tom, a duração e as repetições do som.
O investigador descobriu uma race condition, na ferramenta que podia ser explorada por um hacker para escalar privilégios para o root. Versões até 1.3.4 são afetadas pela falha que foi identificada como CVE-2018-0492.
Mais informação sobre a falha em: holeybeep.ninja.
Para identificar um sistema vulnerável, é possível executar o seguinte comando:
curl https://holeybeep.ninja/am_i_vulnerable.sh | sudo bash
Uma máquina vulnerável emitirá um bipe.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.