Uma nova falha no kernel do Linux NetFilter foi descoberta, permitindo que usuários locais não privilegiados aumentem seus privilégios para o nível root, permitindo controle completo sobre um sistema.
O identificador
CVE-2023-32233
foi reservado para a vulnerabilidade, mas um nível de gravidade ainda não foi determinado.
O problema de segurança decorre do Netfilter nf_tables aceitar atualizações inválidas em sua configuração, permitindo cenários específicos em que solicitações de lote inválidas levam à corrupção do estado interno do subsistema.
O Netfilter é um framework de filtragem de pacotes e tradução de endereços de rede (NAT) incorporado ao kernel do Linux que é gerenciado por utilitários de front-end, como IPtables e UFW.
De acordo com um novo aviso publicado ontem, a corrupção do estado interno do sistema leva a uma vulnerabilidade de uso após livre que pode ser explorada para realizar leituras e gravações arbitrárias na memória do kernel.
Como revelado por pesquisadores de segurança que postaram na lista de discussão Openwall, um exploit de prova de conceito (PoC) foi criado para demonstrar a exploração do
CVE-2023-32233
.
O pesquisador afirma que os impactos envolvem várias versões do kernel do Linux, incluindo a versão estável atual, v6.3.1.
No entanto, para explorar a vulnerabilidade, é necessário primeiro ter acesso local a um dispositivo Linux.
Um compromisso de código-fonte do kernel do Linux foi enviado para resolver o problema pelo engenheiro Pablo Neira Ayuso, introduzindo duas funções que gerenciam o ciclo de vida de conjuntos anônimos no subsistema Netfilter nf_tables.
Ao gerenciar adequadamente a ativação e desativação de conjuntos anônimos e impedir atualizações adicionais, essa correção evita a corrupção da memória e a possibilidade de atacantes explorarem o problema de uso após livre para aumentar seus privilégios para o nível root.
Os pesquisadores de segurança Patryk Sondej e Piotr Krysiuk, que descobriram o problema e o reportaram à equipe do kernel do Linux, desenvolveram um PoC que permite que usuários locais não privilegiados iniciem um shell root em sistemas afetados.
Os pesquisadores compartilharam seu exploit privadamente com a equipe do kernel do Linux para ajudá-los a desenvolver uma correção e incluíram um link para uma descrição detalhada das técnicas de exploração empregadas e o código-fonte do PoC.
Como os analistas explicaram ainda mais, o exploit será publicado na próxima segunda-feira, 15 de maio de 2023, juntamente com detalhes completos sobre as técnicas de exploração.
"De acordo com a política da lista de distribuição do Linux, o exploit deve ser publicado dentro de 7 dias a partir deste aviso.
Para cumprir essa política, pretendo publicar tanto a descrição das técnicas de exploração quanto o código-fonte do exploit na segunda-feira, 15", diz uma postagem na lista de discussão Openwall.
Obter privilégios de nível raiz em servidores Linux é uma ferramenta valiosa para atores de ameaças, que são conhecidos por monitorar o Openwall em busca de novas informações de segurança para usar em seus ataques.
Um fator atenuante para o
CVE-2023-32233
é que os atacantes remotos primeiro devem estabelecer acesso local a um sistema-alvo para explorá-lo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...