La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a ajouté deux vulnérabilités dans son catalogue de vulnérabilités exploitées connues (KEV), y compris une faille d’élévation de privilèges du noyau Linux.

La faille de gravité élevée identifiée comme CVE-2024-1086 a été divulguée pour la première fois le 31 janvier 2024 en tant que problème d’utilisation après libération dans le composant netfilter: nf_tables, mais a été introduite pour la première fois par un commit en février 2014.

Netfilter est un framework fourni par le noyau Linux qui permet diverses opérations liées au réseau, telles que le filtrage de paquets, la traduction d’adresses réseau (NAT) et la mutilation de paquets.

La vulnérabilité est due au fait que la fonction ‘nft_verdict_init()’ permet d’utiliser des valeurs positives comme erreur de suppression dans le verdict du crochet, ce qui fait que la fonction ‘nf_hook_slow()’ exécute un double free lorsque NF_DROP est émis avec une erreur de suppression qui ressemble à NF_ACCEPT.

L’exploitation de CVE-2024-1086 permet à un attaquant disposant d’un accès local d’obtenir une élévation de privilèges sur le système cible, obtenant potentiellement un accès au niveau racine.

Le problème a été résolu via un commit soumis en janvier 2024, qui rejette les paramètres de verdict de FILE d’ATTENTE/ABANDON, empêchant ainsi l’exploitation.

Le correctif a été rétroporté vers plusieurs versions stables du noyau, comme indiqué ci-dessous:

  • v5. 4. 269 et versions ultérieures
  • v5. 10. 210 et versions ultérieures
  • v6. 6. 15 et versions ultérieures
  • v4. 19. 307 et versions ultérieures
  • v6. 1. 76 et versions ultérieures
  • v5. 15. 149 et versions ultérieures
  • v6. 7. 3 et versions ultérieures

Fin mars 2024, un chercheur en sécurité utilisant l’alias « Notselwyn » a publié une écriture détaillée et un exploit de preuve de concept (PoC) sur GitHub, montrant comment obtenir une élévation de privilèges locale en exploitant la faille sur les versions du noyau Linux entre 5.14 et 6.6.

Alors que la plupart des distributions Linux ont publié des correctifs assez rapidement, Red Hat n’avait publié de correctif qu’en mars, ce qui permettait aux acteurs de la menace d’utiliser l’exploit public sur des systèmes compromis.

CISA n’a pas partagé de détails spécifiques sur la façon dont la vulnérabilité est exploitée, mais Breachtrace a vu des messages sur des forums de piratage sur les exploits publics.

L’agence de cybersécurité a maintenant donné aux agences fédérales jusqu’au 20 juin 2024 pour appliquer les correctifs disponibles.

Si la mise à jour n’est pas possible, il est recommandé aux administrateurs d’appliquer les mesures d’atténuation suivantes:

  1. Liste de blocage ‘nf_tables’ si elle n’est pas nécessaire/utilisée activement.
  2. Restreindre l’accès aux espaces de noms des utilisateurs pour limiter la surface d’attaque.
  3. Charger le module Linux Kernel Runtime Guard (LKRG) (peut provoquer une instabilité)

La deuxième faille CISA ajoutée sur le catalogue KEV cette fois, fixant également la date d’échéance au 20 juin, est CVE-2024-24919, une vulnérabilité de divulgation d’informations affectant les périphériques VPN de Check Point.

Suite à la publication de la divulgation et de la mise à jour de sécurité du fournisseur pour cette faille, des chercheurs de Watchtower Labs ont publié leur analyse, soulignant que la vulnérabilité est bien pire que ce que reflétait le bulletin de Check Point.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *