CISA предупреждава за пропуск в повишаването на привилегиите на Linux, който е бил активно използван

Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) добави две уязвимости към своя Каталог с известни уязвимости (KEV), включително пропуск за повишаване на привилегиите на ядрото на Linux.

Грешката с висок риск беше проследена като CVE-2024-1086 За първи път беше открит на 31 януари 2024 г. като проблем с използване след освобождаване в компонента netfilter:nf_tables, но за първи път беше въведен чрез ангажиране През февруари 2014г.

Netfilter е рамка, предоставена от ядрото на Linux, която позволява много свързани с мрежата операции, като филтриране на пакети, преобразуване на мрежови адреси (NAT) и изкривяване на пакети.

Уязвимостта възниква, защото функцията ‘nft_verdict_init()’ позволява положителните стойности да се използват като грешка при изпускане в рамките на обвързващо правило, което кара функцията ‘nf_hook_slow()’ да извърши безплатно дублиране, когато NF_DROP се издаде с грешка при изпускане подобно на NF_ACCEPT.

Използването на CVE-2024-1086 позволява на атакуващ с локален достъп да постигне ескалация на привилегии в целевата система, като потенциално получава достъп на ниво root.

Проблемът беше коригиран чрез ангажиране Представен е през януари 2024 гкойто отхвърля параметрите на правилото QUEUE/DROP, като по този начин предотвратява експлоатацията.

Корекцията е пренесена в няколко стабилни версии на ядрото, както е показано по-долу:

• Версия 5.4.269 и по-нова
• Версия 5.10.210 и по-нова
• Версия 6.6.15 и по-нова
• Версия 4.19.307 и по-нова
• Версия 6.1.76 и по-нова
• Версия 5.15.149 и по-нова
• Версия 6.7.3 и по-нова

В края на март 2024 г. изследовател по сигурността, използващ псевдонима „Notselwyn“, публикува файл Подробно писане Доказателство за концепция (PoC) Експлойт в GitHubи показва как да постигнете локална ескалация на привилегиите чрез използване на пропуск, присъстващ във версии на ядрото на Linux между 5.14 и 6.6.

Въпреки че повечето дистрибуции на Linux пуснаха корекции много бързо, Red Hat Не отложи ремонта До март, което дава възможност на заплахите да използват публичната уязвимост на компрометирани системи.

CISA не сподели конкретни подробности за това как е била използвана уязвимостта, но BleepingComputer видя публикации на хакерски форуми за общи експлойти.

Агенцията за киберсигурност вече даде на федералните агенции До 20 юни 2024гза да приложите наличните корекции.

Ако актуализацията не е възможна, администраторите препоръчват прилагането на следните смекчаващи мерки:

1. Списък с блокирани „nf_tables“, ако не е необходимо/активно се използва.
2. Ограничете достъпа до потребителските пространства от имена, за да намалите повърхността за атака.
3. Изтеглете Linux Kernel Runtime Guard (LKRG) модул (може да причини нестабилност)

Вторият недостатък е CISA Добавен в каталога на KEV Този път крайният срок на 20 юни също е определен да бъде CVE-2024-24919, уязвимост при разкриване на информация, засягаща VPN устройствата на Check Point.

След като доставчикът разкри и пусна актуализацията на защитата за този пропуск, изследователи от Watchtowr Labs публикуваха своя анализ, потвърждавайки, че уязвимостта Много по-зле е Както е отразено в бюлетина на Check Point.