Segundo um alerta de segurança, uma nova falha do NetFilter no kernel Linux dá privilégios de root aos atacantes.
O Netfilter é uma estrutura de filtragem de pacotes e tradução de endereços de rede (NAT) incorporada ao kernel do Linux que é gerenciada por meio de utilitários de front-end, como IPtables e UFW.
Agora, uma nova falha no NetFilter do kernel Linux foi descoberta, permitindo que usuários locais sem privilégios aumentem seus privilégios para o nível raiz, permitindo controle completo sobre um sistema.
Nova falha do NetFilter no kernel Linux dá privilégios de root
O problema de segurança decorre do Netfilter nf_tables aceitar atualizações inválidas em sua configuração, permitindo cenários específicos em que solicitações de lote inválidas levam à corrupção do estado interno do subsistema.
O identificador CVE-2023-32233 foi reservado para a vulnerabilidade, mas um nível de gravidade ainda não foi determinado.
De acordo com um novo comunicado publicado ontem, corromper o estado interno do sistema leva a uma vulnerabilidade use-after-free que pode ser explorada para realizar leituras e gravações arbitrárias na memória do kernel.
Conforme revelado por pesquisadores de segurança que postaram na lista de discussão do Openwall, uma exploração de prova de conceito (PoC) foi criada para demonstrar a exploração do CVE-2023-32233.
O pesquisador afirma que isso afeta vários lançamentos do kernel do Linux, incluindo a versão estável atual, v6.3.1. No entanto, para explorar a vulnerabilidade, é necessário primeiro ter acesso local a um dispositivo Linux.
Um commit do código-fonte do kernel do Linux foi enviado para resolver o problema pelo engenheiro Pablo Neira Ayuso, introduzindo duas funções que gerenciam o ciclo de vida de conjuntos anônimos no subsistema Netfilter nf_tables.
Ao gerenciar adequadamente a ativação e desativação de conjuntos anônimos e impedir novas atualizações, essa correção evita corrupção de memória e a possibilidade de invasores explorarem o problema de uso após a liberação para escalar seus privilégios para o nível raiz.
Os pesquisadores de segurança Patryk Sondej e Piotr Krysiuk, que descobriram o problema e o relataram à equipe do kernel do Linux, desenvolveram uma PoC que permite que usuários locais sem privilégios iniciem um shell root nos sistemas afetados.
Os pesquisadores compartilharam sua exploração em particular com a equipe do kernel do Linux para ajudá-los a desenvolver uma correção e incluíram um link para uma descrição detalhada das técnicas de exploração empregadas e o código-fonte do PoC.
Como explicaram os analistas, a exploração será publicada na próxima segunda-feira, 15 de maio de 2023, juntamente com detalhes completos sobre as técnicas de exploração.
“De acordo com a política da lista de distribuições linux, o exploit deve ser publicado dentro de 7 dias a partir deste aviso. Para cumprir essa política, pretendo publicar a descrição das técnicas de exploração e também o código-fonte do exploit na segunda-feira, 15”, diz uma postagem na lista de discussão do Openwall.
Obter privilégios de nível raiz em servidores Linux é uma ferramenta valiosa para agentes de ameaças, que são conhecidos por monitorar o Openwall em busca de novas informações de segurança para usar em seus ataques.
Um fator atenuante para CVE-2023-32233 é que os invasores remotos primeiro devem estabelecer acesso local a um sistema de destino para explorá-lo.