Uma nova falha no kernel do Linux NetFilter foi descoberta, permitindo que usuários locais sem privilégios escalem seus privilégios para o nível raiz, permitindo o controle completo sobre um sistema.
O identificador CVE-2023-32233 foi reservado para a vulnerabilidade, mas um nível de gravidade ainda não foi determinado.
O problema de segurança decorre do Netfilter nf_tables aceitar atualizações inválidas em sua configuração, permitindo cenários específicos em que solicitações em lote inválidas levam à corrupção do estado interno do subsistema.
Nova falha do NetFilter do kernel Linux dá privilégios de root aos invasores
Netfilter é uma estrutura de filtragem de pacotes e conversão de endereços de rede (NAT) integrada ao kernel Linux que é gerenciada por meio de utilitários front-end, como IPtables e UFW.
De acordo com um novo comunicado publicado, corromper o estado interno do sistema leva a uma vulnerabilidade de uso após liberação que pode ser explorada para realizar leituras e gravações arbitrárias na memória do kernel.
Conforme revelado por pesquisadores de segurança que postaram na lista de discussão do Openwall, uma exploração de prova de conceito (PoC) foi criada para demonstrar a exploração do CVE-2023-32233.
O pesquisador afirma que isso afeta várias versões do kernel Linux, incluindo a versão estável atual, v6.3.1. No entanto, para explorar a vulnerabilidade, é necessário primeiro ter acesso local a um dispositivo Linux.
Uma confirmação do código-fonte do kernel Linux foi submetida para resolver o problema pelo engenheiro Pablo Neira Ayuso, introduzindo duas funções que gerenciam o ciclo de vida de conjuntos anônimos no subsistema Netfilter nf_tables.
Ao gerenciar adequadamente a ativação e desativação de conjuntos anônimos e impedir novas atualizações, essa correção evita a corrupção de memória e a possibilidade de invasores explorarem o problema de uso após liberação para escalar seus privilégios para o nível raiz.
A façanha será divulgada em breve
Os pesquisadores de segurança Patryk Sondej e Piotr Krysiuk, que descobriram o problema e o relataram à equipe do kernel Linux, desenvolveram um PoC que permite que usuários locais sem privilégios iniciem um shell raiz em sistemas afetados.
Os pesquisadores compartilharam sua exploração em particular com a equipe do kernel Linux para ajudá-los a desenvolver uma correção e incluíram um link para uma descrição detalhada das técnicas de exploração empregadas e o código-fonte da PoC.
Como os analistas explicaram, o exploit será publicado na próxima segunda-feira, 15 de maio de 2023, junto com detalhes completos sobre as técnicas de exploração.
“De acordo com a política de lista de distribuições linux, o exploit deve ser publicado em até 7 dias a partir deste comunicado. Para cumprir essa política, pretendo publicar tanto a descrição das técnicas de exploração quanto o código-fonte do exploit na segunda-feira, 15”, diz um post na lista de discussão do Openwall.
Obter privilégios de nível raiz em servidores Linux é uma ferramenta valiosa para os agentes de ameaças, que são conhecidos por monitorar o Openwall em busca de novas informações de segurança para usar em seus ataques.
Um fator atenuante para CVE-2023-32233 é que os invasores remotos primeiro devem estabelecer acesso local a um sistema de destino para explorá-lo.