Linux : une faille dans Netfilter permet de devenir root !

faille linux
faille linux

Une nouvelle faille de sécurité importante a été découverte dans le noyau Linux, et plus particulièrement dans Netfilter. En exploitant cette vulnérabilité, un utilisateur local peut devenir root sur la machine.

Associée à la référence CVE-2023-32233, cette faille de sécurité découverte dans Netfilter n’est pas encore associée à un niveau de sévérité. Pourtant, on a déjà certains détails intéressants à son sujet. Pour rappel, Netfilter est un framework intégré au noyau Linux qui sert à ajouter des fonctions de pare-feu et de NAT au système. Pour gérer les règles Netfilter, on peut s’appuyer sur des outils comme le très célèbre IPtables ou UFW.

Des chercheurs en sécurité ont révélé des informations au sujet de cette faille de sécurité Netfilter et ils ont créé un exploit pour faire une démonstration de la CVE-2023-32233. D’après eux, cette vulnérabilité affecte plusieurs versions du noyau Linux, y compris la version stable actuelle : le kernel v6.3.1. L’équipe derrière le noyau Linux est déjà au courant de cette découverte.

D’ailleurs, l’ingénieur Pablo Neira Ayuso a déjà effectué un commit sur le code source du noyau Linux pour proposer un correctif afin de mieux gérer le cycle de vie des ensembles anonymes dans le sous-système Netfilter « nf_tables » (voir ici). Grâce à cette modification, la corruption de la mémoire via cette vulnérabilité n’est plus possible, ce qui empêche l’élévation de privilèges.

De toute façon, il est important de préciser que pour exploiter cette vulnérabilité, il faut disposer d’un accès à la machine, avec un utilisateur standard. Ensuite, il devient possible d’effectuer une élévation de privilèges pour devenir « root ».

Pour le moment, les chercheurs en sécurité Patryk Sondej et Piotr Krysiuk ont partagé l’exploit PoC en privé avec l’équipe de développeurs du noyau Linux. Toutefois, ce n’est qu’une question de jour avant que ces informations soient rendues publiques : l’exploit sera mis en ligne le lundi 15 mai 2023, avec tous les détails techniques. C’est tout à fait normal vis-à-vis de la politique de divulgation.

Puisque cette faille de sécurité se situe dans le noyau Linux, ceci impacte de nombreuses distributions telles que Debian (exemple ici), Ubuntu, Red Hat, Gentoo, etc… Des mises à jour de sécurité devraient voir le jour rapidement.

Source