Une nouvelle faille du noyau Linux NetFilter a été découverte, permettant aux utilisateurs locaux non privilégiés d’élever leurs privilèges au niveau racine, permettant un contrôle complet sur un système.

L’identifiant CVE-2023-32233 a été réservé pour la vulnérabilité, mais un niveau de gravité reste à déterminer.

Le problème de sécurité provient du fait que Netfilter nf_tables accepte des mises à jour invalides de sa configuration, permettant des scénarios spécifiques où des requêtes par lots invalides entraînent la corruption de l’état interne du sous-système.

Netfilter est un framework de filtrage de paquets et de traduction d’adresses réseau (NAT) intégré au noyau Linux qui est géré via des utilitaires frontaux, tels que IPtables et UFW.

Selon un nouvel avis publié hier, la corruption de l’état interne du système conduit à une vulnérabilité d’utilisation après libération qui peut être exploitée pour effectuer des lectures et des écritures arbitraires dans la mémoire du noyau.

Comme l’ont révélé les chercheurs en sécurité qui ont posté sur la liste de diffusion Openwall, un exploit de preuve de concept (PoC) a été créé pour démontrer l’exploitation de CVE-2023-32233.

Le chercheur déclare que cela a un impact sur plusieurs versions du noyau Linux, y compris la version stable actuelle, v6.3.1. Cependant, pour exploiter la vulnérabilité, il est d’abord nécessaire d’avoir un accès local à un périphérique Linux.

Un commit de code source du noyau Linux a été soumis pour résoudre le problème par l’ingénieur Pablo Neira Ayuso, introduisant deux fonctions qui gèrent le cycle de vie des ensembles anonymes dans le sous-système Netfilter nf_tables.

En gérant correctement l’activation et la désactivation des ensembles anonymes et en empêchant d’autres mises à jour, ce correctif empêche la corruption de la mémoire et la possibilité que des attaquants exploitent le problème d’utilisation après libération pour élever leurs privilèges au niveau racine.

L’exploit bientôt rendu public
Les chercheurs en sécurité Patryk Sondej et Piotr Krysiuk, qui ont découvert le problème et l’ont signalé à l’équipe du noyau Linux, ont développé un PoC qui permet aux utilisateurs locaux non privilégiés de démarrer un root shell sur les systèmes impactés.

Les chercheurs ont partagé leur exploit en privé avec l’équipe du noyau Linux pour les aider à développer un correctif et ont inclus un lien vers une description détaillée des techniques d’exploitation employées et le code source du PoC.

Comme les analystes l’ont expliqué plus en détail, l’exploit sera publié lundi prochain, le 15 mai 2023, avec des détails complets sur les techniques d’exploitation.

« Conformément à la politique de la liste linux-distros, l’exploit doit être publié dans les 7 jours suivant cet avis. Afin de me conformer à cette politique, j’ai l’intention de publier à la fois la description des techniques d’exploitation et également le code source de l’exploit le lundi 15,  » lit un message sur la liste de diffusion Openwall.

L’obtention de privilèges de niveau racine sur les serveurs Linux est un outil précieux pour les acteurs de la menace, qui sont connus pour surveiller Openwall à la recherche de nouvelles informations de sécurité à utiliser dans leurs attaques.

Un facteur atténuant pour CVE-2023-32233 est que les attaquants distants doivent d’abord établir un accès local à un système cible pour l’exploiter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *