Une nouvelle vulnérabilité d'élévation de privilèges est découverte dans le noyau Linux
elle permet à un attaquant local d'exécuter un logiciel malveillant sur les systèmes vulnérables

Le chercheur en sécurité Davide Ornaghi a découvert récemment une nouvelle vulnérabilité d'élévation de privilèges dans le noyau Linux qui pourrait permettre à un attaquant local d'exécuter du code sur les systèmes affectés avec des privilèges élevés. Davide a également publié la preuve de concept et la description. Répertoriée sous le nom de CVE-2023-0179, la faille est un dépassement de tampon basé sur la pile qui existe dans le sous-système Netfilter. Un attaquant autorisé peut exploiter cette faille pour obtenir des privilèges élevés en tant que root s'il exécute un programme qui a été soigneusement écrit dans ce but.

« La vulnérabilité consiste en un débordement de tampon de pile dû à une vulnérabilité de type integer underflow à l'intérieur de la fonction "nft_payload_copy_vlan, qui est invoquée avec les expressions nft_payload tant qu'une balise VLAN est présente dans le skb courant », explique Ornaghi. En effet, le noyau Linux possède un framework connu sous le nom de Netfilter permettant d'implémenter une variété d'actions liées au réseau sous la forme de gestionnaires individualisés. Ceci peut être fait en filtrant les paquets réseau entrants. Netfilter offre diverses fonctions pour le filtrage de paquets, la traduction d'adresses réseau et la traduction de ports.

Nom : CVE-2023-0179-1024x813.jpg
Affichages : 7110
Taille : 100,0 Ko

Ces fonctions permettent à Netfilter de fournir la fonctionnalité nécessaire pour diriger les paquets à travers un réseau. Selon le chercheur en sécurité, le noyau Linux 6.2.0-rc1, publié en octobre, est vulnérable à la faille CVE-2023-0179. Cette vulnérabilité peut être exploitée pour provoquer la divulgation des adresses de la pile et du tas, ainsi que la possibilité d'une escalade locale de privilèges vers l'utilisateur root par l'exécution de code arbitraire. Les utilisateurs sont fortement encouragés à mettre à jour leurs serveurs Linux dès que possible et à appliquer les correctifs des distributions dès qu'ils sont disponibles.

Il est également conseillé de ne laisser que des personnes de confiance accéder aux systèmes locaux et de vérifier constamment les systèmes qui ont été compromis. À l'heure actuelle, Davide a proposé le correctif et a publié une atténuation du bogue. Si vous ne pouvez pas appliquer de correctif à ce bogue, la désactivation des espaces de noms des utilisateurs non privilégiés empêchera l'exploitation. Le mois dernier, une vulnérabilité grave avec un score CVSS de 10 a été découverte dans le serveur SMB du noyau Linux. La faille donne à un utilisateur non authentifié la possibilité d'exécuter le code à distance.

Le système CVSS (Common Vulnerability Scoring System), utilisé par les organisations du monde entier, permet de saisir les principales caractéristiques d'une faille de sécurité et de lui attribuer un numéro et un score reflétant sa gravité. Ce score numérique peut ensuite être traduit en une représentation qualitative (telle que faible, moyenne, élevée et critique) afin d'aider les organisations à évaluer et à hiérarchiser correctement leurs processus de gestion des vulnérabilités. Selon les chercheurs en cybersécurité, une vulnérabilité avec un score de 10 n'est pas du tout rassurante et doit être prise au sérieux par les utilisateurs.

La vulnérabilité découverte dans le noyau le mois dernier permet l'exécution d'un code arbitraire sur les installations affectées. L'authentification n'est pas nécessaire pour exploiter cette vulnérabilité, mais seuls les systèmes avec ksmbd activé sont vulnérables. La faille spécifique existe dans le traitement des commandes SMB2_TREE_DISCONNECT. Le problème résulte de l'absence de validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du noyau. Linux a publié une mise à jour pour corriger cette vulnérabilité.

Source : Description de la vulnérabilité CVE-2023-0179

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Une vulnérabilité avec un score CVSS de 10 a été découverte dans le noyau Linux, seuls les systèmes avec ksmbd activé sont concernés, une MAJ a été publiée pour sa correction

La version 6.2 du noyau Linux laisserait prévoir de nombreuses améliorations du système de fichiers, dans le même temps, les systèmes de fichiers Linux de nouvelle génération n'avancent pas vite

Linus Torvalds annonce la disponibilité de Linux 6.1 : après 31 ans, un deuxième langage est admis pour le développement du noyau, c'est le Rust, considéré comme candidat à la mise au rebut du C