В четвъртък американската агенция за киберсигурност CISA предупреди организациите, че заплахите активно използват неотдавнашна уязвимост в ядрото на Linux.
Проследявана като CVE-2024-1086, грешката е описана като проблем с използването след освобождаване в компонента „netfilter: nf_tables“. Използването ѝ позволява на локален нападател да повиши привилегиите си.
Дефектът засяга версии на Linux ядрото между 5.14 и 6.6, като основният проблем може да засегне всички итерации на ядрото, започвайки от версия 3.15.
Кръпките бяха публикувани през февруари 2024 г., като беше потвърдено, че са засегнати AlmaLinux, Debian, Gentoo, Red Hat, SUSE и Ubuntu. Възможно е и други дистрибуции на Linux да са уязвими.
В края на март Notselwyn, ловецът на грешки, който откри CVE-2024-1086, публикува код за проверка на концепцията (PoC), като твърди, че успеваемостта е 99,4% и предупреждава, че уязвимостта е тривиална за използване.
Грешката, обяснява изследователят в техническо описание, е двойно свободен бъг, чиито корени са в недостатъчната обработка на входните данни в netfilter, когато са разрешени nf_tables и пространства от имена на непривилегировани потребители.
„Експлойтът е само за данни и извършва атака за огледално отразяване на ядрото (KSMA) от потребителската област с новата техника Dirty Pagedirectory (объркване на таблици със страници), при която може да свърже всеки физически адрес (и неговите разрешения) с адреси на виртуалната памет, като извършва само четене/записване на адреси от потребителската област“, отбелязва Notselwyn. Dirty Pagedirectory е разновидност на Dirty Pagetable.
Успешното експлоатиране на уязвимостта води до срив или до произволно изпълнение на код в ядрото, а изследователят обяснява как грешката може да бъде насочена към пускане на универсален root shell.
В четвъртък, два месеца след като експлойтът беше оповестен публично, CISA добави CVE-2024-1086 към своя каталог на известните експлоатирани уязвимости (Known Exploited Vulnerabilities – KEV), като предупреди, че заплахите се насочват към нея в дивата природа.
Агенцията не споменава, че недостатъкът се използва при атаки с цел получаване на откуп. Изглежда, че няма налична информация за атаките, включващи CVE-2024-1086.
Съгласно Обвързваща оперативна директива (BOD) 22-01 федералните агенции трябва да приложат наличните пачове или смекчаващи мерки до 20 юни.
„Въпреки че BOD 22-01 се отнася само за агенциите FCEB, CISA настоятелно призовава всички организации да намалят излагането си на кибератаки, като дадат приоритет на навременното отстраняване“, отбелязва Агенцията за киберсигурност.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.