Graves vulnerabilidades en Linux: escalada de privilegios y puerta trasera en el kernel

En esta lluviosa mañana de domingo, descubrimos dos vulnerabilidades en uno del sistema operativomás usado de código abierto.

Descripción

Una vulnerabilidad de uso después en el netfilter del kernel de Linux: el componente de los notables se puede explotar para lograr la escalada de privilegios locales. La función nft-verdict-init() permite los valores positivos como error de caída dentro del veredicto de gancho, y por lo tanto la función nf.hook.slow() puede causar una doble vulnerabilidad libre cuando se emite NF-DROP con un error de caída que se aso a NF-ACCEPT. Recomendamos actualizar pasado commit f342de4e2f3e0e39165d8639387aa6c19dff660.

Escalada de privilegios

Un exploit de prueba de concepto para Linux ha sido publicado, según el investigador de errores que lo desarrolló, permitiendo la escalada de privilegios en sistemas vulnerables con versiones de kernel entre 5.14 y 6.6.14. La vulnerabilidad, identificada como CVE-2024-1086 con una calificación de 7.8 sobre 10 en términos de gravedad de CVSS, otorga acceso de root a través de una explotación relativamente sencilla, lo que podría ser aprovechado por insiders malintencionados o malware existente para causar daños adicionales y problemas en el sistema.

En su análisis, Notselwyn detalla los pasos para obtener un shell de root universal en casi todos los kernels de Linux afectados usando CVE-2024-1086. Esto incluye un método particularmente interesante que se basa en una técnica de explotación universal anterior del kernel de Linux, denominada Dirty Pagetable, que implica abusar de errores basados en la pila para manipular tablas de páginas y obtener control no autorizado sobre la memoria del sistema y, por lo tanto, su funcionamiento.

El último método ha sido llamado Dirty Page directory, y Notselwyn dice que permite acceso de lectura/escritura ilimitado y estable a todas las páginas de memoria en un sistema Linux, lo que le daría a un atacante control completo sobre el sistema. Notselwyn también ha compartido el código fuente de un PoC de exploit, que es fácil ejecutar.Se aconseja a los usuarios de Debian, Ubuntu, Red Hat, Fedora y otras distribuciones de Linux que apliquen los parches de seguridad correspondientes de manera urgente para mitigar este riesgo.

Puerta trasera en el kernel

Además, parece que se descubrió una puerta trasera en una utilidad ampliamente utilizada en Linux, conocida como xz Utils, que podría comprometer las conexiones SSH cifradas. Aunque la detección temprana ha evitado su inclusión en versiones de producción, y parece ser que se había trabajado con el autor de «la supuesta puerta trasera» en el upstream xz/liblzma que compromete el servidor ssh, según este foro. Aun así su existencia plantea preocupaciones de seguridad.La utilidad de compresión xz Utils introdujo el código malicioso en las versiones 5.6.0 y 5.6.1, según Andrés Freund, el desarrollador que lo descubrió. Aunque no se tienen informes de que esas versiones se hayan incorporado a lanzamientos de producción para distribuciones de Linux importantes, tanto Red Hat como Debian informaron que las versiones beta recientemente publicadas usaban al menos una de las versiones con puerta trasera, específicamente en Fedora Rawhide y las distribuciones de prueba, inestables y experimentales de Debian. También se vio afectado un lanzamiento estable de Arch Linux. Sin embargo, esa distribución no se utiliza en sistemas de producción.

No fue una puerta trasera en el kernel. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) y la comunidad de código abierto están respondiendo a los informes sobre código malicioso incrustado en las versiones 5.6.0 y 5.6.1 de XZ Utils, una biblioteca de compresión de datos, puede estar presente en diversas distribuciones de Linux. Esta vulnerabilidad permitía el acceso no autorizado a sistemas comprometidos, pero no estaba relacionada con el kernel del sistema operativo Linux. La vulnerabilidad se clasificó como CVE-2024-3094 y afectó a XZ Utils, no al kernel del sistema operativo.Los investigadores instan a los usuarios a verificar si sus sistemas están afectados y a tomar medidas correctivas de inmediato. Se enfatiza la importancia de la vigilancia y la aplicación de parches para mantener la seguridad de los sistemas Linux en todo momento.

Más información:

• Escalada de privilegios: https://www.theregister.com/2024/03/29/linux_kernel_flaw/

• https://nvd.nist.gov/vuln/detail/CVE-2024-1086

• https://github.com/Notselwyn/CVE-2024-1086

• https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f342de4e2f33e0e39165d8639387aa6c19dff660

• Debian: https://security-tracker.debian.org/tracker/CVE-2024-1086

• Ubuntu: https://ubuntu.com/security/CVE-2024-1086

• Red Hat: https://bugzilla.redhat.com/show_bug.cgi?id=2262126

• Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7LSPIOMIJYTLZB6QKPQVVAYSUETUWKPF/

• https://pwning.tech/nftables/

• https://yanglingxi1993.github.io/dirty_pagetable/dirty_pagetable.html

• Puerta trasera en el kernel: https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/

• https://www.openwall.com/lists/oss-security/2024/03/29/4

• Backdoor en el upstream xz/liblzma que compromete el servidor ssh: https://news.ycombinator.com/item?id=39865810

• https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

• https://lists.debian.org/debian-security-announce/2024/msg00057.html

• https://github.com/orgs/Homebrew/discussions/5243#discussioncomment-8954951

• https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

Bibliografia

https://nsfocusglobal.com/linux-kernel-privilege-escalation-vulnerability-cve-2024-1086-alert/

https://blog.cloudlinux.com/cve-2024-1086-vulnerability-mitigation-for-cloudlinux-os-servers