Un nou exploit COW pentru Linux permite acces de root la sistem

O vulnerabilitate a kernel-ului Linux, dezvăluită recent, care combină o vulnerabilitate de corupere a cache-ului de pagini de tip Copy-on-Write (COW) cu componenta act_pedit a subsistemului net/sched, permite atacatorilor locali fără privilegii să-și extindă privilegiile până la acces root complet pe mai multe distribuții majore de Linux.

Cauza principală este o eroare de corupere parțială a cache-ului de pagini COW introdusă în commit-ul 899ee91156e5 al nucleului, prezentă în versiunile nucleului Linux de la v5.18 până la v7.1-rc6 și remediată în v7.1-rc7. Vulnerabilitatea se află în subsistemul net/sched act_pedit, o componentă de editare a traficului din cadrul sistemului de control al traficului (tc) din Linux.

Lanțul de atac funcționează prin generarea unui proces secundar în namespace-ul utilizatorului, dotat cu capacitățile CAP_NET_ADMIN, o permisiune accesibilă utilizatorilor fără privilegii pe sistemele în care namespace-urile utilizatorilor fără privilegii sunt activate în mod implicit.

Exploitul utilizează apoi tehnica de corupere COW pentru a suprascrie punctul de intrare ELF stocat în memoria cache a binarului setuid-root /bin/su, injectând un shellcode care execută setgid(0) + setuid(0) + execve(„/bin/sh”), oferind atacatorului un shell cu drepturi de root.

Aceasta este a patra vulnerabilitate recentă de escaladare a privilegiilor dezvăluită în sistemele Linux.

RHEL și Debian sunt vulnerabile, fără a fi necesare setări speciale, deoarece ambele sunt furnizate cu namespace-uri de utilizator fără privilegii deschise în mod implicit. De remarcat faptul că RHEL nu dispune de modulele cls_basic și em_meta, dar exploit-ul recurge automat la matchall pentru a genera aceeași primitivă de corupere.

Opțiunea –ubuntu reexecută exploit-ul prin intermediul comenzii aa-exec, utilizând profiluri permisive precum trinity, chrome sau flatpak, care includ o regulă userns. ocolind astfel bariera AppArmor.

Această soluție alternativă funcționează pe Ubuntu 24.04.4 (unconfined=0), dar este blocată pe Ubuntu 26.04 (unconfined=1), ceea ce întărește restricția pentru a bloca complet această cale de reexecuție.

Administratorii sunt îndemnați cu insistență să aplice imediat patch-urile pentru kernel, să restricționeze crearea de namespace-uri de către utilizatori fără privilegii prin intermediul comenzii sysctl, acolo unde este posibil din punct de vedere operațional, și să monitorizeze eventualele invocări aa-exec sau evenimente de creare a namespace-urilor neașteptate.

Instituțiile care utilizează versiuni de kernel cuprinse între v5.18 și v7.1-rc6 ar trebui să trateze acest patch ca pe o prioritate critică.

Sursă: https://cybersecuritynews.com/linux-pedit-cow-exploit/