Agenția americană de securitate cibernetică și infrastructură (CISA) a adăugat două vulnerabilități la Catalogul său de vulnerabilități cunoscute (KEV), inclusiv un defect de creștere a privilegiilor kernelului Linux.
Bug-ul cu risc ridicat a fost urmărit ca CVE-2024-1086 A fost detectat pentru prima dată pe 31 ianuarie 2024, ca o problemă de utilizare după gratuită în componenta netfilter:nf_tables, dar a fost introdus pentru prima dată de un commit În februarie 2014.
Netfilter este un cadru furnizat de nucleul Linux care permite multe operațiuni legate de rețea, cum ar fi filtrarea pachetelor, traducerea adresei de rețea (NAT) și distorsiunea pachetelor.
Vulnerabilitatea apare deoarece funcția „nft_verdict_init()” permite ca valorile pozitive să fie folosite ca o eroare de drop în cadrul unei reguli de legare, determinând ca funcția „nf_hook_slow()” să efectueze o dublare gratuită atunci când un NF_DROP este emis cu o eroare de drop. similar cu NF_ACCEPT.
Exploatarea CVE-2024-1086 permite unui atacator cu acces local să obțină o escaladare a privilegiilor pe sistemul vizat, obținând posibil acces la nivel de rădăcină.
Problema a fost rezolvată prin commit A fost introdus în ianuarie 2024care respinge parametrii regulii QUEUE/DROP, prevenind astfel exploatarea.
Remedierea a fost portată în mai multe versiuni stabile de nucleu, după cum se arată mai jos:
- Versiunea 5.4.269 și o versiune ulterioară
- Versiunea 5.10.210 și o versiune ulterioară
- Versiunea 6.6.15 și ulterioară
- Versiunea 4.19.307 și ulterioară
- Versiunea 6.1.76 și o versiune ulterioară
- Versiunea 5.15.149 și ulterioară
- Versiunea 6.7.3 și ulterioară
La sfârșitul lunii martie 2024, un cercetător de securitate care folosea pseudonimul „Notselwyn” a publicat un fișier Scriere detaliată Dovada conceptului (PoC) Exploatați pe GitHubși arată cum să obțineți escaladarea privilegiilor locale prin exploatarea unui defect prezent în versiunile de kernel Linux între 5.14 și 6.6.
Deși majoritatea distribuțiilor Linux au lansat remedieri foarte rapid, Red Hat Nu a împins reparația Până în martie, făcând posibil ca actorii amenințărilor să folosească vulnerabilitatea publică pe sistemele compromise.
CISA nu a împărtășit detalii specifice despre cum a fost exploatată vulnerabilitatea, dar BleepingComputer a văzut postări pe forumuri de hacking despre exploatările generale.
Agenția de securitate cibernetică a dat acum agențiilor federale Până pe 20 iunie 2024pentru a aplica patch-urile disponibile.
Dacă o actualizare nu este posibilă, administratorii recomandă implementarea următoarelor măsuri de atenuare:
- Lista blocată „nf_tables” dacă nu este necesară/utilizată activ.
- Restricționați accesul la spațiile de nume ale utilizatorilor pentru a reduce suprafața de atac.
- Descărcați Linux Kernel Runtime Guard (LKRG) modul (poate cauza instabilitate)
Al doilea dezavantaj este CISA Adăugat în catalogul KEV De data aceasta, data scadentă de 20 iunie este, de asemenea, stabilită să fie CVE-2024-24919, o vulnerabilitate de divulgare a informațiilor care afectează dispozitivele VPN ale Check Point.
După ce furnizorul a dezvăluit și a lansat actualizarea de securitate pentru acest defect, cercetătorii de la Watchtowr Labs și-au publicat analiza, confirmând că vulnerabilitatea Este mult mai rău După cum se reflectă în buletinul Check Point.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”