Exploit PoC lansat pentru o vulnerabilitate din Linux

A fost lansat un exploit de tip Proof-of-Concept (PoC) pentru o vulnerabilitate importantă din subsistemul nftables al kernel-ului Linux, identificată ca CVE-2024-26809.

Această vulnerabilitate, care își are rădăcinile în arhitectura netfilter a kernel-ului, expune sistemele afectate la escaladarea privilegiilor locale printr-un atac dublu-free sofisticat.

Vulnerabilitatea se găsește în subsistemul nftables, care este conceput pentru a înlocui framework-urile vechi de filtrare a pachetelor, precum iptables și ip6tables.

Nftables se bazează pe mai multe componente de bază ale nucleului, inclusiv structura nft_set_pipapo, pentru a gestiona seturi de reguli de filtrare. Vulnerabilitatea afectează în special funcția nft_pipapo_destroy() din cadrul modulului net/netfilter al kernelului.

Atacul începe cu crearea unui set pipapo și introducerea mai multor elemente pentru a se asigura că setul este marcat ca fiind malițios.

Atacatorul declanșează apoi distrugerea setului, determinând kernelul să elibereze de două ori aceleași elemente ale setului. Această dublă eliberare corupe heap-ul kernelului, vizând în special cache-ul de obiecte kmalloc-256, care este utilizat în mod obișnuit pentru alocarea obiectelor kernelului.

O parte esențială a exploatării implică manipularea structurilor interne de date ale kernelului pentru a obține controlul asupra indicatorului de instrucțiuni.

Atacatorul creează un obiect nft_expr fals și utilizează un gadget ROP pentru a roti stiva, executând în final cod arbitrar în cadrul kernelului.

Fiabilitatea exploatării este sporită de capacitatea sa de a recupera fragmente de heap eliberate și de a divulga adresele kernelului, ocolind măsurile de atenuare obișnuite.

CVE-2024-26809 afectează versiunile 5.15.54 și ulterioare ale kernelului Linux, inclusiv ramurile 6.1 și 6.6 LTS.

Vulnerabilitatea a fost abordată în actualizările recente ale kernelului, distribuții precum Debian, Ubuntu și SUSE lansând patch-uri pentru toate versiunile acceptate.

Administratorii de sistem sunt insistent sfătuiți să aplice imediat cele mai recente actualizări de securitate.

Sursă: https://cybersecuritynews.com/linux-kernels-nftables-vulnerability-poc/