Foi descoberta uma vulnerabilidade crítica no subsistema Netfilter do Kernel Linux, que permite que os atacantes locais escalem privilégios por meio de uma condição de gravação fora dos limites.
A falha, identificada comoCVE-2024-53141afeta a funcionalidade de bitmap ipset e pode permitir que os usuários não privilegiados obtenham acesso raiz em sistemas vulneráveis.
| Cve id | CVE-2024-53141 |
| Versões afetadas | Até o repositório do kernel Linux do Linux, do Commith041BD1E4in Torvalds, incluindo versões do kernel até 6.12.2 |
| Resposta do fornecedor | Os desenvolvedores do Kernel Linux lançaram um patch abordando a vulnerabilidade |
| Commit patch | 35F56C554EB1B56B77B3CF197A6B00922D49033D |
Visão geral técnica
A vulnerabilidade reside no TIP: IPSET TIPO IPIMENTO IPIMENTO NO SUBSEMENTE IPSET DO LINUX KERNEL, que é usado para gerenciamento de endereços IP eficientes em conjunto com iptables e nftables.
A falha ocorre em TheBitmap_IP_Uadtfunction localizado innet/netfilter/ipset/ip_set_bitmap_ip.c.
Ao processar a notação CIDR (Routing Inter-Domain) para intervalos de IP, o kernel não executa os limites adequados.
Especificamente, whentb[IPSET_ATTR_CIDR]está presente buttb[IPSET_ATTR_IP_TO]Não é, o sistema executa cálculos de intervalo de endereço IP sem verificar se o endereço IP resultante permanece dentro do intervalo de bitmap válido definido bymap-> primeiro_ip.
Essa supervisão cria uma condição de escreva em que os atacantes podem manipular a estrutura de dados do bitmap além dos limites pretendidos.
A vulnerabilidade permite a modificação das estruturas de memória do kernel, potencialmente corrompendo dados críticos do sistema e permitindo ataques de escalada de privilégios.
Pesquisadores de segurança têm demonstrado que essa falha pode ser explorada para alcançar gravações de memória arbitrária no espaço do kernel.
O vetor de ataque envolve a criação de configurações de bitmap ipset especialmente criadas com faixas de CIDR que desencadeiam condições inteiras de subfluxo durante os cálculos de IP-índice.
A vulnerabilidade é particularmente preocupante, porque pode ser explorada por usuários não privilegiados que têm acesso aos recursos do Netfilter, tornando-o um vetor de escalada de privilégio significativo em sistemas multiusuores e ambientes de contêiner.
Essa vulnerabilidade representa um risco de severidade a sistemas baseados em Linux, particularmente aqueles que executam aparelhos de segurança de rede, firewalls e plataformas de orquestração de contêineres que dependem fortemente da funcionalidade do triturador.
A exploração bem -sucedida pode permitir que os invasores ignorem os controles de segurança, obtenham acesso administrativo não autorizado e potencialmente comprometa as infraestruturas inteiras do sistema.
Os administradores do sistema devem atualizar imediatamente seus Kernels Linux para versões que contêm o patch de segurança.
A correção implementa a validação de limite adequada para operações de intervalo IP baseadas em CIDR no subsistema Bitmap: IP.
As organizações incapazes de patch imediatamente devem considerar restringir o acesso aos recursos do Netfilter e monitorando os logs do sistema para operações suspeitas de IPSet até que as atualizações possam ser aplicadas.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!