Deux vulnérabilités Linux introduites récemment dans le noyau Ubuntu créent la possibilité pour des utilisateurs locaux non privilégiés d’obtenir des privilèges élevés sur un grand nombre d’appareils.
Ubuntu est l’une des distributions Linux les plus utilisées, particulièrement populaire aux États-Unis, avec une base d’utilisateurs approximative de plus de 40 millions.
Deux failles récentes identifiées comme CVE-2023-32629 et CVE-2023-2640 découvertes par les chercheurs de Wiz, S. Tzadik et S. Tamari, ont récemment été introduites dans le système d’exploitation, affectant environ 40 % de la base d’utilisateurs d’Ubuntu.
CVE-2023-2640 est une vulnérabilité de haute gravité (score CVSS v3 : 7,8) dans le noyau Ubuntu Linux causée par des contrôles d’autorisation inadéquats permettant à un attaquant local d’obtenir des privilèges élevés.
CVE-2023-32629 est une faille de gravité moyenne (score CVSS v3 : 5,4) dans le sous-système de gestion de la mémoire du noyau Linux, où une condition de concurrence lors de l’accès aux VMA peut conduire à une utilisation après libération, permettant à un attaquant local d’exécuter du code arbitraire. exécution.
Les deux analystes ont trouvé les problèmes après avoir découvert des divergences dans l’implémentation du module OverlayFS sur le noyau Linux.
OverlayFS est une implémentation de système de fichiers de montage union ciblée par les acteurs de la menace à plusieurs reprises dans le passé en raison de l’autorisation d’un accès non privilégié via les espaces de noms d’utilisateurs et d’être en proie à des bogues facilement exploitables.
Ubuntu, en tant que l’une des distributions utilisant OverlayFS, avait mis en œuvre des modifications personnalisées de son module OverlayFS en 2018, qui étaient généralement sûres.
Cependant, en 2019 et 2022, le projet de noyau Linux a apporté ses propres modifications au module, ce qui était en conflit avec les modifications d’Ubuntu.
La distribution à grande échelle a récemment adopté le code contenant ces modifications, et les conflits ont provoqué l’introduction des deux failles.
Malheureusement, le risque d’exploitation est imminent, car les PoC pour les deux failles sont accessibles au public depuis longtemps.
« Les deux vulnérabilités sont uniques aux noyaux Ubuntu car elles découlent des modifications individuelles d’Ubuntu au module OverlayFS », ont averti les chercheurs de Wiz.
« Les exploits armés pour ces vulnérabilités sont déjà accessibles au public étant donné que les anciens exploits pour les vulnérabilités passées d’OverlayFS fonctionnent prêts à l’emploi sans aucun changement. »
Il convient de noter que les deux failles mises en évidence n’affectent qu’Ubuntu, et toute autre distribution Linux, y compris les fourches Ubuntu, n’utilisant pas de modifications personnalisées du module OverlayFS devrait être sûre.
Ubuntu a publié un bulletin de sécurité sur les problèmes et six autres vulnérabilités traitées dans la dernière version du noyau Ubuntu Linux et a mis à disposition des mises à jour de correction.
Il est recommandé aux utilisateurs qui ne savent pas comment réinstaller et activer les modules de noyau tiers d’effectuer la mise à jour via leur gestionnaire de packages, qui doit prendre en charge toutes les dépendances et les configurations post-installation.
Un redémarrage est nécessaire après l’installation des mises à jour pour que la mise à jour du noyau Linux prenne effet sur Ubuntu.