CISA warnt vor einem Linux-Fehler bei der Erhöhung von Privilegien, der aktiv ausgenutzt wird
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat zwei Schwachstellen in ihren Katalog bekannter Schwachstellen (KEV) aufgenommen, darunter einen Fehler bei der Erhöhung von Linux-Kernel-Berechtigungen.
Der hochriskante Fehler wurde als verfolgt CVE-2024-1086 Es wurde erstmals am 31. Januar 2024 als Use-after-Free-Problem in der Komponente netfilter:nf_tables entdeckt, aber erstmals durch einen Commit eingeführt Im Februar 2014.
Netfilter ist ein vom Linux-Kernel bereitgestelltes Framework, das viele netzwerkbezogene Vorgänge wie Paketfilterung, Netzwerkadressübersetzung (NAT) und Paketverzerrung ermöglicht.
Die Sicherheitslücke tritt auf, weil die Funktion „nft_verdict_init()“ die Verwendung positiver Werte als Drop-Fehler innerhalb einer Bindungsregel zulässt, was dazu führt, dass die Funktion „nf_hook_slow()“ ein kostenloses Double ausführt, wenn ein NF_DROP mit einem Drop-Fehler ausgegeben wird ähnlich wie NF_ACCEPT.
Durch die Ausnutzung von CVE-2024-1086 kann ein Angreifer mit lokalem Zugriff eine Privilegieneskalation auf dem Zielsystem erreichen und möglicherweise Zugriff auf Root-Ebene erlangen.
Das Problem wurde durch Commit behoben Es wurde im Januar 2024 eingeführtdas QUEUE/DROP-Regelparameter ablehnt und so eine Ausnutzung verhindert.
Der Fix wurde auf mehrere stabile Kernel-Releases portiert, wie unten gezeigt:
- Version 5.4.269 und höher
- Version 5.10.210 und höher
- Version 6.6.15 und höher
- Version 4.19.307 und höher
- Version 6.1.76 und höher
- Version 5.15.149 und höher
- Version 6.7.3 und höher
Ende März 2024 veröffentlichte ein Sicherheitsforscher unter dem Pseudonym „Notselwyn“ eine Datei Ausführliches Schreiben Proof of Concept (PoC) Exploit auf GitHubund zeigt, wie man eine lokale Privilegienausweitung erreichen kann, indem man einen Fehler ausnutzt, der in Linux-Kernelversionen zwischen 5.14 und 6.6 vorhanden ist.
Obwohl die meisten Linux-Distributionen Korrekturen sehr schnell ausführten, hat Red Hat Habe die Reparatur nicht vorangetrieben Bis März wird es Bedrohungsakteuren ermöglicht, die öffentliche Schwachstelle auf kompromittierten Systemen auszunutzen.
CISA teilte keine spezifischen Details darüber mit, wie die Sicherheitslücke ausgenutzt wurde, BleepingComputer sah jedoch Beiträge in Hacking-Foren über allgemeine Exploits.
Die Cybersicherheitsbehörde hat nun Bundesbehörden mitgeteilt Bis 20. Juni 2024um verfügbare Patches anzuwenden.
Wenn ein Update nicht möglich ist, empfehlen Administratoren die Implementierung der folgenden Abhilfemaßnahmen:
- Sperrliste „nf_tables“, falls nicht benötigt/aktiv genutzt.
- Beschränken Sie den Zugriff auf Benutzernamensräume, um die Angriffsfläche zu verringern.
- Laden Sie Linux Kernel Runtime Guard herunter (LKRG) Modul (kann Instabilität verursachen)
Der zweite Nachteil ist CISA Im KEV-Katalog hinzugefügt Als Fälligkeitsdatum ist dieses Mal auch der 20. Juni auf CVE-2024-24919 festgelegt, eine Sicherheitslücke bezüglich der Offenlegung von Informationen, die die VPN-Geräte von Check Point betrifft.
Nachdem der Anbieter das Sicherheitsupdate für diese Schwachstelle offengelegt und veröffentlicht hatte, veröffentlichten Forscher von Watchtowr Labs ihre Analyse und bestätigten die Schwachstelle Es ist viel schlimmer Wie im Check Point-Bulletin wiedergegeben.
„Lebenslanger Social-Media-Liebhaber. Fällt oft hin. Schöpfer. Leidenschaftlicher Feinschmecker. Entdecker. Typischer Unruhestifter.“