Sept vulnérabilités connues et exploitées ajoutées au catalogue CISA
CISA (Cybersecurity and Infrastructure Security Agency) a ajouté sept nouvelles vulnérabilités Linux à son catalogue de vulnérabilités exploitées connues (KEV) le 12 mai 2023.
Il s'agit notamment de l'exécution de code à distance de Ruckus AP (CVE-2023-25717), de l'élévation de privilèges de Red Hat (CVE-2021-3560), de l'élévation de privilèges du noyau Linux (CVE-2014-0196 et CVE-2010-3904), de la divulgation d'informations de l'interface utilisateur de Jenkins (CVE-2015-5317), de l'exécution de code à distance d'Apache Tomcat (CVE-2016-8735), et d'un problème lié à Oracle Java SE et JRockit (CVE-2016-3427).
La vulnérabilité du produit Ruckus a été exploitée par le réseau de zombies DDoS AndoryuBot. Mais il n'y a pas de rapports publics sur l'exploitation d'autres vulnérabilités. Toutefois, des détails techniques et des exploits de type "preuve de concept" (PoC) sont disponibles, étant donné que certains d'entre eux sont connus depuis une dizaine d'années.
Sept vulnérabilités connues et exploitées
Ruckus Wireless Admin jusqu'à la version 10.4 permet l'exécution de code à distance via une requête HTTP GET non authentifiée, comme le démontre une requête HTTP GET non authentifiée. /forms/doLogin?login_username=admin&password=password$(curl
sous-chaîne.
Cette faille permet à un attaquant local non privilégié de créer un nouvel administrateur local ou d'effectuer des actions similaires. Les principaux risques posés par cette vulnérabilité sont la compromission de la confidentialité et de l'intégrité des données, ainsi qu'une vulnérabilité potentielle des systèmes.
Cette faille permet à des utilisateurs locaux d'exploiter une condition de course impliquant de longues chaînes de caractères pendant les opérations de lecture et d'écriture. En conséquence, les attaquants peuvent soit provoquer un déni de service (corruption de la mémoire et plantage du système), soit potentiellement obtenir une escalade des privilèges.
Dans le noyau Linux antérieur à la version 2.6.36, la fonction rds_page_copy_user
fonction dans net/rds/page.c
qui gère le protocole Reliable Datagram Sockets (RDS), ne valide pas correctement les adresses obtenues depuis l'espace utilisateur. Cette vulnérabilité permet à des utilisateurs locaux d'obtenir une élévation de privilèges car les appels système sendmsg et recvmsg peuvent être exploités de manière artisanale.
Dans les versions de Jenkins antérieures à 1.638 et les versions LTS antérieures à 1.625.2, les pages Fingerprints présentent une vulnérabilité qui pourrait potentiellement permettre à des attaquants distants d'accéder à des informations sensibles sur les travaux et les noms de build en les demandant directement.
Cette faille provient de l'absence de mise à jour de l'auditeur pour s'aligner sur le correctif CVE-2016-3427 d'Oracle, qui a impacté les types d'identifiants et provoqué des incohérences.
Une faille a été découverte dans les versions 6u113, 7u99 et 8u77 d'Oracle Java SE, Java SE Embedded 8u77 et JRockit R28.3.9. La vulnérabilité est liée à JMX (Java Management Extensions) et peut être exploitée à distance par des attaquants.
Solutions pour ces vulnérabilités exploitées
Les organisations doivent souvent utiliser des distributions Linux après que le fabricant a mis fin au support de sécurité - mais les cybercriminels continuent de rechercher et d'exploiter des vulnérabilités après que ces produits ont atteint la fin de leur vie (EOL).
Heureusement, TuxCare offre une solution sous la forme d'un support de cycle de vie étendu. Grâce à ce service, les organisations peuvent continuer à utiliser ces systèmes en toute confiance pendant une période supplémentaire allant jusqu'à quatre ans après la date officielle de fin de vie. Au cours de cette période prolongée, TuxCare se charge de fournir des correctifs de vulnérabilité automatisés.
En outre, TuxCare offre un service de correctifs en direct pour plus de 40+ distros Linux, y compris des distros populaires comme CentOS, AlmaLinux, Debian, Ubuntu, Oracle Linux, Amazon Linux, CloudLinux, Red Hat, Rocky Linux, et Raspberry Pi OS.
Conclusion
Les vulnérabilités ci-dessus ont un lien commun avec Linux, ce qui suggère qu'elles ont pu être exploitées dans le cadre d'attaques visant des systèmes Linux. Les avis du NIST pour chaque vulnérabilité font référence aux avis des distributions Linux, qui décrivent l'impact de ces failles et indiquent la disponibilité des correctifs.
Il est probable que certains de ces problèmes aient également été exploités dans des attaques visant des appareils Android, car l'exploitation des vulnérabilités du noyau Linux dans des attaques Android n'est pas rare.
La CISA a identifié un lien entre deux des vulnérabilités. La présence de la faille Apache Tomcat est attribuée à un composant qui n'a pas été mis à jour pour intégrer le correctif d'Oracle pour CVE-2016-3427. Il n'est toutefois pas évident de savoir si plusieurs failles ont été combinées ensemble ou utilisées dans une seule attaque, ou si les vulnérabilités ont été exploitées par le même acteur de menace.
Les sources de cet article comprennent un article de SecurityWeek.