Des bugs de Linux ont permis d’avoir un accès root pendant 15 ans

0

Trois vulnérabilités trouvées dans le sous-système iSCSI du noyau Linux pourraient permettre aux attaquants locaux ayant des privilèges d’utilisateur de base d’obtenir des privilèges root sur les systèmes Linux non patchés.

Ces bogues de sécurité ne peuvent être exploités que localement, ce qui signifie que les attaquants potentiels devront accéder à des appareils vulnérables en exploitant une autre vulnérabilité ou en utilisant un autre vecteur d’attaque.

Les bugs vieux de 15 ans du noyau de Linux

Les chercheurs de GRIMM ont découvert des bugs vieux de 15 ans qui ont été introduits en 2006 lors des premières étapes de développement du sous-système iSCSI du noyau.

Selon Adam Nichols, chercheur en sécurité de GRIMM, les failles affectent toutes les distributions Linux, mais heureusement, le module scsi_transport_iscsi du noyau n’est pas chargé par défaut.

Toutefois, selon la distribution Linux que les pirates informatique pourraient ciblé, le module peut être chargé et exploité pour l’élévation de privilèges.

« Le noyau Linux charge les modules soit parce que le nouveau matériel est détecté ou parce qu’une fonction du noyau détecte qu’un module est manquant », a déclaré Nichols.

« Ce dernier cas implicite de charge automatique est plus susceptible d’être abusé et est facilement déclenché par un attaquant, ce qui lui permet d’augmenter la surface d’attaque du noyau. »

Linux

« Sur les systèmes CentOS 8, RHEL 8 et Fedora, les utilisateurs non privilégiés peuvent charger automatiquement les modules requis si le paquet rdma-core est installé », a ajouté M. Nichols.

« Sur les systèmes Debian et Ubuntu, le paquet rdma-core ne chargera automatiquement les deux modules de noyau requis que si le matériel RDMA est disponible. En tant que tel, la vulnérabilité est beaucoup plus limitée dans sa portée. »

Obtenir des privilèges root via le contournement du KASLR

Les hackers peuvent abuser des bogues pour contourner les fonctionnalités de sécurité de blocage d’exploitation telles que la randomisation de la disposition de l’espace d’adressage du noyau (KASLR), la protection d’exécution du mode superviseur (SMEP), la prévention de l’accès au mode superviseur (SMAP) et l’isolation de la page-table du noyau (KPTI).

Les trois vulnérabilités peuvent conduire à une élévation locale des privilèges, des fuites d’informations et des dénis de service :

  • CVE-2021-27365: débordement de tampon dans le tas (Elévation locale de privilège, Fuite d’information, Déni de Service)
  • CVE-2021-27363: fuite du pointeur du noyau (Fuite d’information)
  • CVE-2021-27364: lecture hors-limite (Fuite d’information, Déni de Service)

Les trois vulnérabilités sont patchées à partir des versions 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, et 4.4.260, et les correctifs sont devenus disponibles dans le noyau Linux de ligne principale le 7 mars. Aucun correctif ne sera publié pour les versions de noyau non pris en charge comme 3.x et 2.6.23.

Si vous avez déjà installé l’une de ces versions du noyau Linux, votre appareil ne peut pas être compromis dans les attaques exploitant ces bogues.

Si vous n’avez pas corrigé votre système, vous pouvez utiliser le diagramme ci-dessus pour déterminer si votre appareil est vulnérable aux tentatives d’exploitation.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire