C’è una nuova e critica vulnerabilità nel Kernel Linux che riguarda iptables ed è al momento attivamente sfruttata, parola di CISA

5 months ago 168

La U.S. Cybersecurity & Infrastructure Security Agency, altrimenti conosciuta come CISA, ossia l’agenzia americana che si preoccupa di scoprire e monitorare vulnerabilità informatiche, ha recentemente aggiunto nel proprio catalogo che si chiama KEV (e sta per Known Exploited Vulnerabilities) una nuova falla che affligge il Kernel Linux e che riguarda iptables, ossia il firewall nativo del Pinguino.

La CVE-2024-1086 descritta nell’articolo di Bleeping Computer pare che risalga addirittura al lontano 2014, anno in cui la modifica che ha portato il problema è stata inserita nel codice del Kernel, e consentirebbe un attaccante che abbia accesso locale alla macchina di effettuare una privilege escalation fino a raggiungere permessi di root.

La pubblicazione della CVE è coincisa con la patch portata nel Kernel a gennaio di quest’anno e, come indica l’articolo, è stata backportata sulle versioni stabili attualmente sul mercato, nello specifico:

  • v5.4.269 e successive
  • v5.10.210 e successive
  • v6.6.15 e successive
  • v4.19.307 e successive
  • v6.1.76 e successive
  • v5.15.149 e successive
  • v6.7.3 e successive

Il problema è che attualmente questa vulnerabilità è segnalata come attivamente sfruttata sulla rete, tanto che esiste un proof-of-concept (PoC) su GitHub, all’interno del quale viene spiegato come non sia poi così complicato sfruttare l’anomalia, con tanto di video:

Il motivo per cui appare ancora molto diffusa nonostante l’esistenza delle patch riguarda ad esempio il fatto che dalla scoperta del problema alla produzione della patch sono passati mesi. Red Hat, tanto per citare la principale azienda open-source, ha pubblicato la fix solo a marzo, lasciando potenzialmente campo libero a quanti a conoscenza del problema di sfruttare a dovere il bug.

L’articolo consiglia anche come fare a limitare il problema nel caso una patch non sia disponibile, sono tre passi:

  • Bloccare il modulo incriminato nf_tables (se chiaramente questo non è attivamente utilizzato).
  • Restringere l’accesso agli user namespace per limitare la superficie d’attacco.
  • Caricare LKRG, ossia la Linux Kernel Runtime Guard, che però può portare instabilità al sistema.

Insomma, se non si fosse capito, l’applicazione della patch (ora che è disponibile) è più che suggerita.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Read Entire Article