Кілька днів тому була оприлюднена новина про те, що Агентство з кібербезпеки та безпеки інфраструктури США. (CISA) випустив попередження про критичну вразливість у Linux який активно використовується і який також закликає користувачів негайно оновлювати свої системи.
Для тих, хто не знайомий з CISA, вам слід знати, що це агентство, відповідальне за кібербезпеку та захист інфраструктури на всіх рівнях уряду США. Воно координує програми кібербезпеки зі штатами США та покращує державний захист від комп’ютерних атак.
Щодо попередження, виданого CISA, згадується, що вразливість, позначений як CVE-2024-1086, він має рейтинг серйозності 7.8 із 10, і це дозволяє особам, які вже скомпрометували систему, підвищити свої привілеї.
Цей тип уразливості, відомий як «використовувати після звільнення» в компоненті netfilter. Проблема полягає в nf_tables ядра Linux, які можна використати для досягнення локальної ескалації привілеїв.
Ці типи вразливостей є частими векторами атак для зловмисних кібератак і становлять значні ризики для федерального підприємства.
Функція nft_verdict_init() допускає позитивні значення як помилка видалення в вердикті гака і тому функція nf_hook_slow() може викликати подвійну безкоштовну вразливість коли NF_DROP видається з помилкою скидання, подібною до NF_ACCEPT.
Згадується, що вразливість Вона впливає на версії ядра Linux від 5.14 до 6.6, тому вразливість міститься в NF_tables, компонент ядра, який полегшує фільтрацію мережі. Це включає такі операції, як фільтрація пакетів, трансляція мережевих адрес і портів (NAT), реєстрація пакетів, постановка пакетів у чергу в просторі користувача та інші маніпуляції з пакетами. Незважаючи на те, що вразливість було виправлено в січні, згідно з рекомендаціями CISA, деякі робочі системи ще не застосували оновлення.
Обов’язкова операційна директива (BOD) 22-01: Зменшення значного ризику від відомих використовуваних уразливостей створила Каталог відомих використаних вразливостей як живий список відомих поширених уразливостей і ризиків (CVE), які становлять значний ризик для федерального підприємства. BOD 22-01 вимагає від органів Федеральної цивільної виконавчої влади (FCEB) усунути виявлені вразливості до встановленого терміну, щоб захистити мережі FCEB від активних загроз. Для отримання додаткової інформації див. інформаційний лист BOD 22-01.
Незважаючи на те, що BOD 22-01 стосується лише агентств FCEB, CISA наполегливо рекомендує всім організаціям зменшити ризик кібератак, приділивши пріоритет своєчасному виправленню вразливостей каталогу як частину своєї практики управління вразливістю. CISA продовжить додавати уразливості до каталогу, які відповідають зазначеним критеріям.
Оскільки CVE-2024-1086 є вже відомою вразливістю, експлойти, що впливають на вразливі версії Ядро від (включно) v5.14 до (включно) v6.6, за винятком виправлених гілок v5.15.149>, v6.1.76>, v6.6.15>. Патч для цих версій було випущено в лютому 2024 року, і базова вразливість впливає на всі версії (за винятком стабільних гілок із виправленими патчами) від v3.15 до v6.8-rc1
Пояснює автор експлойту який ініціює помилку, яка спричиняє подвійне звільнення, я додаю правило Netfilter до простору імен непривілейованого користувача. Правило Netfilter містить вираз, який встановлює значення вердикту щодо зловмисності, яке змушує внутрішній код ядра nf_tables спочатку інтерпретувати NF_DROP, після чого він звільняє skb, а потім повертає NF_ACCEPT для продовження обробки пакетів і звільнення двох разів skb. Потім я активую це правило, виділяючи 16-сторінковий IP-пакет (який має бути виділений розподільником-другом, а не розподільником PCP або розподільником плити, і спільним використанням кешу між ЦП), який має тип міграції 0.
Щоб відкласти другий випуск (щоб ми могли уникнути пошкоджень під час виконання завдань), зловживайте логікою фрагментації IP-пакета. Це дозволяє змусити skb чекати в черзі фрагментації IP без звільнення протягом довільної кількості секунд. Щоб пройти цей шлях коду з пошкодженими метаданими пакета, я підмінюю IP-адресу джерела 1.1.1.1 і адресу призначення 255.255.255.255.
нарешті, якщо ти є цікаво дізнатися про це більше, ви можете перевірити деталі в наступне посилання.