PoC Exploit lançado para vulnerabilidade do kernel Linux que permite acesso root.

10/09/2024 mindsecblog Notícias 0

O Google lançou uma prova de conceito (PoC) para uma vulnerabilidade crítica de segurança, identificada como CVE-2024-26581, que foi descoberta no kernel do Linux e representa riscos significativos para sistemas em todo o mundo.

Esta vulnerabilidade, relatada pela equipe kCTF do Google, afeta o componente netfilter, especificamente o módulo nft_set_rbtree. Ela foi classificada com uma pontuação de gravidade CVSS 3.1 de 7,8, indicando um alto nível de risco.

A vulnerabilidade foi encontrada no subsistema Netfilter do kernel Linux. Esse problema ocorre no nft_set_rbtree. rbtree lazy gc na inserção, que pode coletar um elemento de intervalo final recém-adicionado em uma transação e pular os elementos de intervalo final ainda não ativos.

CVE-2024-26581 surge de um problema no processo de coleta de lixo da estrutura de dados rbtree usada no subsistema nftables do netfilter.

A falha ocorre quando o sistema falha em manipular adequadamente elementos de intervalo final durante a coleta de lixo preguiçosa em operações de inserção. Esse descuido pode levar à coleta de elementos que acabaram de ser adicionados, potencialmente permitindo acesso não autorizado ou execução de código malicioso.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

Impacto e gravidade

A vulnerabilidade é classificada como de alta gravidade devido ao seu potencial impacto na confidencialidade, integridade e disponibilidade. O vetor de ataque é local, exigindo baixa complexidade e privilégios, sem necessidade de interação do usuário. Isso o torna um alvo atraente para invasores que buscam explorar sistemas baseados em Linux.

A vulnerabilidade afeta várias versões do kernel Linux. No entanto, várias distribuições já abordaram o problema:

Ubuntu: Versões como Bionic (4.13.0-16.19), Focal (5.4.0-177.197), Jammy (5.15.0-105.115) e Mantic (6.5.0-28.29) foram corrigidas.
Debian: Atualizações semelhantes foram aplicadas para mitigar a vulnerabilidade.

POC liberado

O exploit de prova de conceito, hospedado no GitHub pela equipe de pesquisa de segurança do Google, demonstra como essa vulnerabilidade pode ser aproveitada por agentes mal-intencionados.

O PoC faz parte de uma iniciativa mais ampla para melhorar a conscientização sobre segurança e incentivar o desenvolvimento de mitigações eficazes. Ele serve como um recurso crucial para profissionais de segurança que buscam entender e abordar os riscos potenciais associados ao CVE-2024-26581.

Este PoC, agora disponível no GitHub , destaca uma vulnerabilidade crítica no kernel do Linux que tem implicações de longo alcance para usuários e administradores.

Mitigação e Recomendações

Os administradores de sistema são instados a aplicar os últimos patches de segurança aos sistemas afetados imediatamente. Os patches foram lançados upstream e estão disponíveis para várias distribuições. Os usuários devem garantir que seus sistemas sejam atualizados para as últimas versões do kernel para mitigar a potencial exploração.

A descoberta do CVE-2024-26581 motivou uma resposta rápida da comunidade de código aberto e das principais distribuições Linux . Avisos de segurança e patches foram emitidos para abordar a vulnerabilidade, destacando o esforço colaborativo para manter a segurança e a integridade dos sistemas Linux.

Como o Linux continua a ser uma pedra angular da infraestrutura global de TI, vulnerabilidades como CVE-2024-26581 ressaltam a importância de medidas de segurança proativas e atualizações oportunas. Organizações e indivíduos que dependem de sistemas Linux devem permanecer vigilantes e proteger seus sistemas contra tais vulnerabilidades críticas.