Mehrere Netfilter-Schwachstellen im Linux-Kernel gefunden
Im Jahr 2023 wurden insgesamt 233 Sicherheitslücken im Linux-Kernel gefunden, mit einer durchschnittlichen CVE-Basisbewertung von 6,5 von 10. Im Netfilter-Subsystem des Linux-Kernels wurden zahlreiche Sicherheitsschwachstellen entdeckt, deren Schweregrad von mittel bis hoch reicht. Der Linux-Kernel ist anfällig für diese Netfilter-Schwachstellen, die zu einer lokalen Privilegienerweiterung oder sogar zu Systemabstürzen führen können.
Der Schweregrad dieser Schwachstellen wurde von der National Vulnerability Database (NVD) als "hoch" eingestuft, was bedeutet, dass sie erheblichen Schaden anrichten können. Es ist unbedingt erforderlich, diese Schwachstellen umgehend zu beseitigen, um potenzielle Risiken wirksam zu mindern.
In diesem Blog-Beitrag werden wir einige hochgefährliche Schwachstellen untersuchen, die im Netzfilter-Subsystem des Linux-Kernels entdeckt wurden.
Netfilter-Schwachstellen mit hohem Schweregrad
CVE-2023-4244
In der als nf_tables bekannten Netfilter-Komponente des Linux-Kernels wurde eine Sicherheitslücke entdeckt, die möglicherweise zur lokalen Privilegienerweiterung ausgenutzt werden kann. Diese Schwachstelle entsteht durch eine Wettlaufsituation zwischen der Transaktion der Netlink-Kontrollebene von nf_tables und dem Garbage-Collection-Prozess von nft_set-Elementen. Infolge dieser Wettlaufbedingung ist es möglich, einen Unterlauf des Referenzzählers auszulösen, was zu einer Use-after-free-Schwachstelle führt.
CVE-2023-3777
Eine Use-after-free-Schwachstelle in der Netfilter-Komponente des Linux-Kernels, speziell nf_tables, kann zur lokalen Privilegienerweiterung ausgenutzt werden. Diese Schwachstelle tritt beim Flushing von Tabellenregeln in der Funktion nf_tables_delrule() zutage, wo nicht überprüft wird, ob die Kette gebunden ist. Außerdem kann die Eigentümerregel der Kette unter bestimmten Umständen auch Objekte freigeben, was das Problem verschlimmert.
CVE-2023-4015
Es gibt eine Use-after-free-Schwachstelle in der Netfilter-Komponente des Linux-Kernels, speziell in nf_tables, die manipuliert werden kann, um eine lokale Privilegienerweiterung zu erreichen. Diese Schwachstelle manifestiert sich in Szenarien, in denen ein Fehler während der Erstellung einer nftables-Regel auftritt. Wenn ein solcher Fehler auftritt, kann die Deaktivierung von unmittelbaren Ausdrücken in der Funktion nft_immediate_deactivate() zu einer unbeabsichtigten Aufhebung der Bindung der Kette führen, was zu deaktivierten Objekten führt, die anschließend verwendet werden.
CVE-2023-4147
Eine Use-after-free-Schwachstelle wurde in der Netfilter-Funktion des Linux-Kernels entdeckt, wenn eine Regel mit NFTA_RULE_CHAIN_ID hinzugefügt wird. Ein Angreifer kann diese Schwachstelle nutzen, um entweder das System zum Absturz zu bringen oder seine Privilegien zu erweitern.
CVE-2023-3610
In der Netfilter-Komponente des Linux-Kernels, speziell in nf_tables, wurde eine Use-after-free-Schwachstelle entdeckt, die zur lokalen Privilegienerweiterung ausgenutzt werden kann. Diese Schwachstelle ist im Mechanismus zur Fehlerbehandlung von gebundenen Ketten begründet, was zu einer Use-after-free-Situation im Abbruchpfad von NFT_MSG_NEWRULE führt. Es ist wichtig zu beachten, dass das Auslösen dieser Schwachstelle die CAP_NET_ADMIN-Rechte voraussetzt.
CVE-2023-3390
Eine Use-after-free-Schwachstelle wurde im Netfilter-Subsystem des Linux-Kernels entdeckt, und zwar in der Datei net/netfilter/nf_tables_api.c. Diese Schwachstelle entsteht durch eine unsachgemäße Fehlerbehandlung im Zusammenhang mit NFT_MSG_NEWRULE, die die Ausnutzung eines Dangling Pointers innerhalb derselben Transaktion ermöglicht, was zu einer Use-after-free-Situation führt. Dieser Fehler kann von einem lokalen Angreifer mit Zugriff auf Benutzerebene ausgenutzt werden, was zu einem Problem der Privilegienerweiterung führen kann.
Live-Patching zur Entschärfung von Netfilter-Schwachstellen
Es ist von größter Wichtigkeit, Netfilter-Schwachstellen zu beheben, um Ihr System gegen potenzielle Denial-of-Service-Angriffe (DoS) und den Verlust vertraulicher Informationen zu schützen. Eine praktikable Lösung, die den Prozess der automatischen Patch-Verteilung rationalisiert, ist KernelCare Enterprise. Mit diesem Tool können Sie Sicherheitspatches anwenden, ohne dass ein Neustart des Systems erforderlich ist oder der laufende Betrieb unterbrochen wird. Darüber hinaus können diese Patches umgehend bereitgestellt werden, sobald sie verfügbar sind.
KernelCare Enterprise bietet Unterstützung für Live-Patching für eine breite Palette beliebter Linux-Distributionen für Unternehmen, darunter Debian, RHEL, Ubuntu, CentOS, AlmaLinux, CloudLinux und viele mehr.
Um ein umfassendes Verständnis der Funktionsweise von Live-Patching zu erhalten, können Sie auch ein Gespräch mit unseren Experten vereinbaren.
Zu den Quellen für diesen Artikel gehört ein Bericht des NIST.