Les bogues du noyau Linux d'il y a 15 ans permettent aux attaquants d'obtenir les privilèges root

  • Principal
  • Nouvelles
  • Les bogues du noyau Linux d'il y a 15 ans permettent aux attaquants d'obtenir les privilèges root

Les bogues du noyau Linux d'il y a 15 ans permettent aux attaquants d'obtenir les privilèges root

Trois vulnérabilités trouvées dans le sous-système iSCSI du noyau Linux pourraient permettre à des attaquants locaux disposant de privilèges utilisateur de base d'obtenir des privilèges root sur des systèmes Linux non corrigés.

Ces failles de sécurité ne peuvent être exploitées que localement, ce qui signifie que les attaquants potentiels devront accéder aux appareils vulnérables en exploitant une autre vulnérabilité ou en utilisant un autre vecteur d'attaque.

Bogues du noyau Linux d'il y a 15 ans

Les chercheurs du GRIMM ont découvert les bogues 15 ans après leur introduction en 2006, lorsque le sous-système du noyau iSCSI était en cours de développement.

Selon le chercheur en sécurité du GRIMM, Adam Nichols, les failles affectent toutes les distributions Linux, mais heureusement, le module noyau vulnérable scsi_transport_iscsi n'est pas chargé par défaut.

Cependant, selon la distribution Linux ciblée par les attaquants, le module peut être chargé et exploité pour élever les privilèges.

'Le noyau Linux charge des modules car un nouveau matériel est détecté ou parce qu'une fonction du noyau détecte un module manquant', Nichols a dit .

'Le dernier cas de chargement automatique implicite est plus susceptible d'être mal utilisé et facilement déclenché par un attaquant, ce qui lui permet d'augmenter la surface d'attaque du noyau.'

Organigramme d'impact

Organigramme d'impact ( GRIMM )

'Sur les systèmes CentOS 8, RHEL 8 et Fedora, les utilisateurs non privilégiés peuvent charger automatiquement les modules requis si le package rdma-core est installé', a ajouté Nichols.

'Sur les systèmes Debian et Ubuntu, le paquet rdma-core chargera automatiquement les deux modules de noyau requis uniquement si le matériel RDMA est disponible. En tant que telle, la vulnérabilité a une portée beaucoup plus limitée.

Obtenez les privilèges root via le contournement KASLR

Les bogues peuvent être exploités par les attaquants pour contourner les fonctionnalités de sécurité bloquant les exploits telles que KASLR (Kernel Address Space Layout Randomization), SMEP (Supervisor Mode Execution Protection), SMAP (Supervisor Mode Access Prevention) et KPTI (Kernel Page Table Isolation).

Ces trois vulnérabilités peuvent entraîner une élévation locale des privilèges, des fuites d'informations et un déni de service :

  • CVE-2021-27365 : débordement de tampon de pile (élévation de privilèges locaux, perte d'informations, déni de service)
  • CVE-2021-27363 : fuite du pointeur du noyau (perte d'informations)
  • CVE-2021-27364 : lecture hors limites (perte de données, déni de service)

Les trois vulnérabilités ont été corrigées à partir de 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 et 4.4.260 et les correctifs ont été mis à disposition dans le noyau Linux principal le 7 mars. Les correctifs ne seront pas publiés pour les versions du noyau qui ne prennent pas en charge EOL, telles que 3.x et 2.6.23.

Si vous avez déjà installé l'une des versions du noyau Linux, votre appareil ne peut pas être compromis par des attaques qui profitent de ces bogues.

Si vous n'avez pas corrigé votre système, vous pouvez utiliser le diagramme ci-dessus pour savoir si votre appareil est vulnérable aux tentatives d'exploitation.

Qu'est-ce que tu penses?