Το νέο ελάττωμα του πυρήνα Linux NetFilter δίνει στους εισβολείς δικαιώματα root
Related Posts
Ανακαλύφθηκε ένα νέο ελάττωμα του πυρήνα του Linux NetFilter, το οποίο επιτρέπει σε μη προνομιούχους τοπικούς χρήστες να κλιμακώσουν τα προνόμιά τους σε επίπεδο root, επιτρέποντας τον πλήρη έλεγχο ενός συστήματος.
ο
CVE-2023-32233
Το αναγνωριστικό έχει δεσμευτεί για την ευπάθεια, αλλά το επίπεδο σοβαρότητας δεν έχει ακόμη καθοριστεί.
Το πρόβλημα ασφαλείας οφείλεται στο γεγονός ότι το Netfilter nf_tables δέχεται μη έγκυρες ενημερώσεις στη διαμόρφωσή του, επιτρέποντας συγκεκριμένα σενάρια όπου τα μη έγκυρα αιτήματα παρτίδας οδηγούν σε καταστροφή της εσωτερικής κατάστασης του υποσυστήματος.
Το Netfilter είναι ένα πλαίσιο φιλτραρίσματος πακέτων και μετάφρασης διευθύνσεων δικτύου (NAT) ενσωματωμένο στον πυρήνα του Linux, το οποίο διαχειρίζεται μέσω βοηθητικών προγραμμάτων front-end, όπως τα IPtables και το UFW.
Σύμφωνα με μια νέα συμβουλευτική που δημοσιεύθηκε χθες, η καταστροφή της εσωτερικής κατάστασης του συστήματος οδηγεί σε μια ευπάθεια χωρίς χρήση που μπορεί να εκμεταλλευτεί για την εκτέλεση αυθαίρετων αναγνώσεων και εγγραφών στη μνήμη του πυρήνα.
Όπως αποκαλύφθηκε από ερευνητές ασφαλείας που δημοσίευσαν στη λίστα αλληλογραφίας του Openwall, δημιουργήθηκε ένα exploit απόδειξης ιδέας (PoC) για να καταδείξει την εκμετάλλευση του CVE-2023-32233.
Ο ερευνητής δηλώνει ότι οι επιπτώσεις σε πολλαπλές εκδόσεις πυρήνα Linux, συμπεριλαμβανομένης της τρέχουσας σταθερής έκδοσης, v6.3.1. Ωστόσο, για την εκμετάλλευση της ευπάθειας, απαιτείται πρώτα να έχετε τοπική πρόσβαση σε μια συσκευή Linux.
Ένας πυρήνας Linux
δέσμευση πηγαίου κώδικα
υποβλήθηκε για την αντιμετώπιση του προβλήματος από τον μηχανικό Pablo Neira Ayuso, εισάγοντας δύο λειτουργίες που διαχειρίζονται τον κύκλο ζωής των ανώνυμων συνόλων στο υποσύστημα Netfilter nf_tables.
Με τη σωστή διαχείριση της ενεργοποίησης και απενεργοποίησης ανώνυμων συνόλων και αποτρέποντας περαιτέρω ενημερώσεις, αυτή η ενημέρωση κώδικα αποτρέπει την καταστροφή της μνήμης και την πιθανότητα οι επιτιθέμενοι να εκμεταλλευτούν το ζήτημα χωρίς χρήση για να κλιμακώσουν τα προνόμιά τους σε επίπεδο root.
Το exploit θα δημοσιοποιηθεί σύντομα
Οι ερευνητές ασφαλείας Patryk Sondej και Piotr Krysiuk, οι οποίοι ανακάλυψαν το πρόβλημα και το ανέφεραν στην ομάδα του πυρήνα του Linux, ανέπτυξαν ένα PoC που επιτρέπει σε μη προνομιούχους τοπικούς χρήστες να ξεκινήσουν ένα root shell σε επηρεαζόμενα συστήματα.
Οι ερευνητές μοιράστηκαν την εκμετάλλευσή τους ιδιωτικά με την ομάδα του πυρήνα Linux για να τους βοηθήσουν στην ανάπτυξη μιας επιδιόρθωσης και συμπεριέλαβαν έναν σύνδεσμο με μια λεπτομερή περιγραφή των χρησιμοποιούμενων τεχνικών εκμετάλλευσης και τον πηγαίο κώδικα του PoC.
Όπως εξήγησαν περαιτέρω οι αναλυτές, το exploit θα δημοσιευτεί την επόμενη Δευτέρα, 15 Μαΐου 2023, μαζί με πλήρεις λεπτομέρειες σχετικά με τις τεχνικές εκμετάλλευσης.
“Σύμφωνα με την πολιτική της λίστας διανομής linux, το exploit πρέπει να δημοσιευτεί εντός 7 ημερών από αυτήν την ενημέρωση. Για να συμμορφωθώ με αυτήν την πολιτική, σκοπεύω να δημοσιεύσω τόσο την περιγραφή των τεχνικών εκμετάλλευσης όσο και τον πηγαίο κώδικα εκμετάλλευσης τη Δευτέρα 15, “διαβάζει
μία ανάρτηση
στη λίστα αλληλογραφίας του Openwall.
Η απόκτηση προνομίων σε επίπεδο ρίζας σε διακομιστές Linux είναι ένα πολύτιμο εργαλείο για τους παράγοντες απειλών, οι οποίοι είναι γνωστό ότι παρακολουθούν το Openwall για νέες πληροφορίες ασφαλείας που θα χρησιμοποιηθούν στις επιθέσεις τους.
Ένας ελαφρυντικός παράγοντας για το CVE-2023-32233 είναι ότι οι απομακρυσμένοι εισβολείς πρέπει πρώτα να δημιουργήσουν τοπική πρόσβαση σε ένα σύστημα στόχο για να το εκμεταλλευτούν.
