Warnung der CISA
Die Cybersicherheitsbehörde der USA, CISA, hat offiziell vor einer Sicherheitsschwachstelle im Linux-Kernel gewarnt. Aktuell missbrauchen bösartige Akteure diese Lücke - sie verschaffen sich hierdurch root-Rechte auf unsicheren Systemen.
Details zur Sicherheitslücke
Es handelt sich um eine sogenannte Use-after-free-Lücke - zu finden in der nf_tables-Komponente von Netfilter. Konkreter: Der Fehler stammt aus der Funktion nft_verdict_init(). Diese kann positive Werte als "Drop"-Fehler akzeptieren - was dazu führt. Dass Funktion nf_hook_slow() Ressourcen doppelt freigibt. Tritt dieser Fehler auf, erscheint ein NF_DROP – ähnlich einem NF_ACCEPT – jedoch mit positivem statt negativem Wert (CVE-2024-1086).
Ursprünge der Lücke
Die Open-Source-Sicherheitsmailingliste OSS-Security hat die Lücke bis ins Jahr 2014 zurückverfolgt. Linus Torvalds hat im Januar einen Patch veröffentlicht der diese Lücke schließt. Notselwyn stellte im März einen Proof-of-Concept-Exploit vor – dieser zeigt zuverlässig auf, ebenso wie root-Rechte erlangt werden können – ein Exploit für ungeschützte Kerne von 5.14 bis 6.6. Doch ebenfalls Kerne von 3.15 bis 6.8-rc1 sind angreifbar.
Betroffene Systeme
Mit altem Kernel gelten Ubuntu und Debian als betroffen – beide nutzen standardmäßig aktivierte User-Namespaces und auch nf_tables. Seit Februar gibt es aktualisierte Kernel-Patches - etwa für Debian (außer Buster) - Fedora, Red Hat & Ubuntu.
Empfehlung für Admins
Admins sollten ihre Kernel stets auf dem aktuellen Stand halten – um diese in der freien Wildbahn ausgenutzte Schwachstelle zu vermeiden.
Weitere Exploits
Im April: Ein Exploit für eine zweite root-Lücke im GSM-Subsystem des Linux-Kernels wurde veröffentlicht - damals noch ungepatcht. Inzwischen hat Greg Kroah-Hartman jedoch Korrekturen in die stabilen und langzeitunterstützten Kernel integriert.
Kommentare