För några dagar sedan släpptes nyheten att US Cybersecurity and Infrastructure Security Agency. (CISA) har utfärdat en varning om en kritisk sårbarhet i Linux som utnyttjas aktivt och som också uppmanar användarna att omedelbart uppdatera sina system.
För de som inte är bekanta med CISA bör du veta att detta är den myndighet som ansvarar för cybersäkerhet och infrastrukturskydd på alla nivåer av amerikanska myndigheter.
När det gäller varningen från CISA nämns det att sårbarheten, identifierad som CVE-2024-1086, den har en svårighetsgrad på 7.8 av 10 och detta tillåter individer som redan har kompromissat med ett system att höja sina privilegier.
Denna typ av sårbarhet, känd som "use after free", i netfilter-komponenten. Problemet ligger i nf_tables av Linux-kärnan som kan utnyttjas för att uppnå lokal privilegieskalering.
Dessa typer av sårbarheter är frekventa attackvektorer för skadliga cyberattacker och utgör betydande risker för det federala företaget.
Funktionen nft_verdict_init() tillåter positiva värden som raderingsfel inuti krok dom och därför kan funktionen nf_hook_slow() orsaka en dubbel fri sårbarhet när NF_DROP utfärdas med ett släppfel som liknar NF_ACCEPT.
Det nämns att sårbarheten Det påverkar Linux-kärnversioner från 5.14 till 6.6 och som sådan finns sårbarheten i NF_tables, en kärnkomponent som underlättar nätverksfiltrering. Detta inkluderar operationer som paketfiltrering, nätverksadress och portöversättning (NAT), paketloggning, köbildning av paket i användarutrymmet och andra paketmanipulationer. Även om sårbarheten korrigerades i januari, enligt CISA-rådgivningen, har vissa produktionssystem ännu inte tillämpat uppdateringen.
Bindande operativa direktiv (BOD) 22-01: Reducing Significant Risk from Known Exploited Vulnerabilities etablerade Catalogue of Known Exploited Vulnerabilities som en levande lista över kända vanliga sårbarheter och exponeringar (CVE) som innebär betydande risker för det federala företaget. BOD 22-01 kräver att Federal Civil Executive Branch (FCEB) byråer åtgärdar identifierade sårbarheter inom deadline för att skydda FCEB-nätverk mot aktiva hot. Se BIR faktablad 22-01 för mer information.
Även om BOD 22-01 endast gäller FCEB-byråer, uppmuntrar CISA starkt alla organisationer att minska sin exponering för cyberattacker genom att prioritera snabb åtgärdande av katalogsårbarheter som en del av deras sårbarhetshantering. CISA kommer att fortsätta att lägga till sårbarheter i katalogen som uppfyller de angivna kriterierna.
Eftersom CVE-2024-1086 är en redan känd sårbarhet, missbruk som påverkar sårbara versioner Kärna från (inklusive) v5.14 till (inklusive) v6.6, exklusive lappade grenar v5.15.149>, v6.1.76>, v6.6.15>. Patchen för dessa versioner släpptes i februari 2024 och den underliggande sårbarheten påverkar alla versioner (exklusive korrigerade stabila grenar) från v3.15 till v6.8-rc1
Exploatören förklarar som ska utlösa felet som orsakar dubbelfri, lägger jag till en Netfilter-regel till ett oprivilegierat användarnamnområde. Netfilterregeln innehåller ett uttryck som ställer in ett skadligt utslagsvärde, vilket gör att den interna kärnkoden nf_tables först tolkar NF_DROP, varefter den släpper skb och sedan returnerar NF_ACCEPT för att pakethanteringen ska fortsätta och släppa två gånger skb. Jag aktiverar sedan den här regeln genom att allokera ett 16-sidigt IP-paket (som ska tilldelas av kompisallokatorn och inte PCP-allokatorn eller skivallokatorn, och delar en cache mellan CPU:er) som har migreringstyp 0.
För att fördröja den andra utgåvan (så att vi kan undvika korruption när vi gör saker), missbruka IP-fragmenteringslogiken för ett IP-paket. Detta gör att en skb kan fås att vänta i en IP-fragmenteringskö utan att släppas i ett godtyckligt antal sekunder. För att korsa den här kodvägen med korrupta paketmetadata, förfalskar jag käll-IP-adressen 1.1.1.1 och destinationsadressen 255.255.255.255.
äntligen om du är det intresserad av att veta mer om detkan du kontrollera detaljerna i följande länk.