ClickCease Vulnérabilités du noyau Linux à connaître (et à atténuer sans redémarrage)

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Vulnérabilités du noyau Linux à connaître (et à atténuer sans redémarrage)

Rohan Timalsina

5 juillet 2023 - L'équipe d'experts de TuxCare

Grâce à la communauté open-source de Linux, les développeurs ont la possibilité d'enrichir la base de code et d'améliorer les fonctionnalités et les performances. Cependant, cet environnement signifie également que les pirates ont accès au code source, ce qui rend les dispositifs basés sur Linux, y compris les serveurs critiques, susceptibles de présenter des vulnérabilités potentielles.

Les vulnérabilités connues sont signalées à une base de données centralisée de vulnérabilités du NIST où les vendeurs, les développeurs et les utilisateurs peuvent être informés des exploits qui affectent des versions spécifiques de logiciels. Un rapport CVE (Common Vulnerabilities and Exposures) sert de signal aux utilisateurs pour qu'ils appliquent rapidement les correctifs logiciels, y compris ceux du noyau Linux, afin de résoudre le problème identifié.

Cet article a pour but de vous aider à découvrir les récentes vulnérabilités du noyau Linux et de vous proposer des solutions pour les atténuer sans avoir à redémarrer vos serveurs et à interrompre vos services.

 

Vulnérabilité du noyau Linux 2023 

Chaque mois, de nouveaux CVE sont ajoutés à la base de données publique du base de données NIST et plus de 130 vulnérabilités ont déjà été découvertes dans le noyau Linux. Les logiciels non corrigés - ou les versions obsolètes de ces logiciels - constituent l'un des principaux problèmes à l'origine de la plupart des plus grandes failles de sécurité.

Nous mettrons en évidence plusieurs CVE récemment découverts que vous devriez connaître afin de sécuriser vos serveurs et vos appareils.

Vulnérabilité du noyau Linux de Netfilter CVE-2023-32233

Score CVSS 3.x : 7.8 (élevé) 

Netfilter est un cadre pour le filtrage de paquets et la traduction d'adresses réseau (NAT) dans le noyau Linux. Des outils tels que UFW et IPtables sont utilisés pour gérer ce cadre. 

Une nouvelle vulnérabilité a été découverte dans Netfilter nf_tables à cause d'une mauvaise gestion des ensembles anonymes. En conséquence, un utilisateur local peut utiliser cette vulnérabilité de type "use-after-free" pour obtenir les privilèges de l'administrateur (root) et effectuer des tâches arbitraires de lecture et d'écriture sur la mémoire du noyau.

 

Vulnérabilité du sous-système Netfilter du noyau Linux (CVE-2023-0179)

Score CVSS 3.x : 7.8 (élevé)

Une vulnérabilité de dépassement de tampon a également été découverte dans le sous-système Netfilter du noyau Linux. Ce problème pourrait permettre la fuite des adresses de la pile et du tas et potentiellement permettre l'escalade des privilèges locaux à l'utilisateur root via l'exécution de code arbitraire.

 

Vulnérabilité des événements de performance dans le noyau Linux (CVE-2023-2235)

Score CVSS 3.x : 7.8 (élevé)

Une vulnérabilité de type "use-after-free" a été découverte dans le système d'événements de performance du noyau Linux. Cette vulnérabilité est apparue lorsque la fonction perf_group _detach n'a pas vérifié l'attach_state du frère de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec a permis d'appeler list_del_event() avant de se détacher de leur groupe, ce qui a rendu possible l'utilisation d'un pointeur ballant.

 

Vulnérabilité du pilote SGI GRU du noyau Linux (CVE-2022-3424)

Score CVSS 3.x : 7.8 (élevé)

Une vulnérabilité de type "use-after-free" a été découverte dans le pilote SGI GRU du noyau Linux lorsque l'utilisateur a appelé la première fonction gru_file_unlocked_ioctl, où un échec de passage se produit dans la fonction gru_check_chiplet_assignment. Un utilisateur local peut exploiter cette faille pour provoquer un crash du système ou élever ses privilèges sur le système.

 

Vulnérabilité du système de fichiers Ext4 du noyau Linux (CVE-2023-1252)

Score CVSS 3.x : 7.8 (élevé)

Une vulnérabilité de type "use-after-free" a été découverte dans le système de fichiers Ext4 du noyau Linux lorsqu'un utilisateur lance plusieurs opérations de fichiers en même temps tout en utilisant l'usage overlay FS. Un utilisateur local peut utiliser cette faille pour planter le système ou potentiellement élever ses privilèges. 

D'autres vulnérabilités récentes du noyau Linux ont été découvertes en l'an 2023, et nous en avons parlé dans notre précédent article : Nouvelles failles de sécurité découvertes dans le noyau Linux.

 

Quelques vulnérabilités du noyau Linux à connaître

Outre les CVE récentes dont nous avons parlé jusqu'à présent dans ce billet, nous avons rassemblé quelques-unes des CVE plus anciennes les plus importantes que vous devriez connaître afin de sécuriser vos serveurs et appareils basés sur Linux.

Jetons un coup d'œil.

Heartbleed (CVE-2014-0160)

Score CVSS 3.x : 7.5 (élevé)

Codenomicon a découvert une vulnérabilité critique de type "Heartbleed" de l'OpenSSL (buffer over-read) lors d'un test de routine de son logiciel. Heartbleed est devenu l'un des bogues les plus graves affectant les serveurs utilisant OpenSSL pour la gestion du protocole SSL. Cet incident nous rappelle qu'une seule ligne de code peut entraîner des bogues critiques, car une seule une seule erreur de codage a conduit à la vulnérabilité Heartbleed.

memcpy(bp, pl, payload) ;

La variable bp est un pointeur qui reçoit les données copiées, tandis que la variable pl est un pointeur vers les données sources. La variable payload indique le nombre d'octets à copier. Malheureusement, les développeurs ont négligé de valider la longueur de la variable payload, créant ainsi une vulnérabilité que les attaquants peuvent exploiter.

Dans ce scénario, un attaquant pourrait envoyer une charge utile de 8 octets de données pour la variable pl tout en attribuant malicieusement 64 octets à la variable payload. Par conséquent, le logiciel affecté, OpenSSL, transmettrait 64 octets de données au lieu des 8 octets prévus. Les octets restants en mémoire pourraient être des clés privées, des mots de passe, des données utilisateur ou tout autre élément stocké dans la longueur restante d'octets en mémoire. Il est important de noter que Heartbleed n'était pas un débordement de mémoire tampon, mais un problème de surlecture. L'absence de contrôles appropriés de la longueur de la charge utile a entraîné une opération de lecture excessive, exposant des données non intentionnelles de la mémoire.

OpenSSL peut être recompilé avec le paramètre -DOPENSSL_NO_HEARTBEATS pour résoudre ce problème avant d'appliquer le correctif. Cependant, cette approche peut avoir des conséquences imprévues pour les applications qui dépendent d'un heartbeat SSL. Par conséquent, les applications qui dépendent d'un battement de cœur peuvent subir des pannes, des messages d'erreur ou ne pas fonctionner correctement. Il est donc essentiel d'accorder la priorité à l'application des correctifs en temps voulu. 

KernelCare Enterprise permet aux administrateurs de corriger OpenSSL sans avoir à redémarrer le système. Les administrateurs peuvent ainsi remédier à la vulnérabilité Heartbleed tout en évitant les temps d'arrêt ou les méthodes d'atténuation potentiellement risquées.

 

Spectre et Meltdown (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754)

Score CVSS 3.x : 5.6 (moyen)

Ce qui rend Spectre et Meltdown uniques par rapport à la plupart des autres CVE, c'est qu'il s'agit de problèmes matériels plutôt que de problèmes liés à des logiciels. Ces vulnérabilités ont eu un impact mondial, affectant presque tous les appareils et forçant Intel à modifier son approche de la fabrication des processeurs. Les deux vulnérabilités permettent aux attaquants de lire la mémoire s'exécutant sur l'appareil local en raison de l'échec de divers contrôles de privilèges sur le matériel. 

Les exploits de Meltdown contournent les contrôles de privilèges et Spectre trompe les applications en leur permettant d'accéder à la mémoire privilégiée. Dans les deux cas, un attaquant accède aux instructions du système d'exploitation à partir de la mémoire physique mappée avec le noyau, ce qui pourrait inclure des mots de passe, des clés et d'autres données sensibles.

Après cette découverte, Intel a annoncé des changements dans son processus de fabrication de processeurs afin d'éliminer la vulnérabilité dans les nouveaux processeurs. Des correctifs ont également été publiés pour remédier au problème, bien que les utilisateurs aient constaté une baisse significative des performances, en particulier sur les machines plus anciennes. 

Deux correctifs ont été publiés pour atténuer le problème : Kaiser pour Meltdown et le correctif Retpoline pour Spectre. Le plus gros problème de l'atténuation est que les performances en pâtissent fortement et qu'un redémarrage est nécessaire. KernelCare applique des correctifs pour ces deux vulnérabilités sans qu'un redémarrage soit nécessaire.

 

Astronomie mutagène (CVE-2018-14634)

Score CVSS 3.x : 7.8 (élevé)

Mutagen Astronomy (anagramme de Too Many Arguments) est l'un des problèmes hautement critiques qui ne peut être exploité que par un utilisateur local pour obtenir les privilèges de l'administrateur (root) sur le système Linux. Un débordement de mémoire tampon dans la fonction create_elf_tables() de Linux a conduit à l'escalade des privilèges. Un attaquant peut déborder la valeur MAX_ARG_STRINGS utilisée pour limiter les arguments transmis à la fonction et injecter ses propres variables d'environnement et fonctions en utilisant un binaire SUID-root. 

Il en résulte qu'un attaquant peut élever ses privilèges, exécuter des fonctions malveillantes sur l'appareil local ou injecter ses propres variables d'environnement. Pour une analyse détaillée du code vulnérable, Qualys a publié ses conclusions ici.

Il est important de noter que cette vulnérabilité ne nécessite pas seulement que l'utilisateur soit sur la machine locale, mais que l'attaque requiert également un appareil de plus de 16 Go de RAM fonctionnant avec un noyau 64 bits. Il s'agit toutefois d'une faille critique qui devrait être corrigée dès que possible. Les chercheurs de Qualys ont constaté que la plupart des utilisateurs de Linux ne sont pas concernés, mais que les principales cibles vulnérables à cette attaque sont les systèmes RedHat et CentOS. RedHat a publié une solution de contournementmais celle-ci nécessite toujours un redémarrage.

Au lieu d'appliquer une longue solution de contournement, les serveurs Linux équipés de KernelCare recevront le correctif et aucun redémarrage ne sera nécessaire.

 

Zombieload (échantillonnage de données microarchitectural) CVE-2018-12207

Score CVSS 3.x : 6.5 (moyen)

Après les découvertes de Spectre et Meltdown, un autre bogue matériel connu sous le nom de "Zombieload" a été identifié. Zombieload comprend une série d'exploits qui exploitent la fonctionnalité d'instruction spéculative des microprocesseurs. Dans le but d'améliorer les performances, les processeurs tentent de mettre en cache les instructions futures qui sont susceptibles d'être exécutées ensuite.

Zombieload et d'autres attaques de type MDS (Microarchitectural Data Sampling) tirent parti de l'échec des limites de protection entourant cet espace mémoire et incitent les applications à divulguer des données critiques.

Pour résoudre ce problème, vous pouvez prendre les trois mesures d'atténuation suivantes.

  • Mise à jour du microcode du processeur
  • Désactiver l'hyperthreading dans le BIOS (les instructions manuelles dépendent du fabricant de votre BIOS)
  • Mise à jour du noyau Linux

 

Réflexions finales

Bien que toutes les vulnérabilités du noyau Linux ne fassent pas l'objet d'un CVE, il est essentiel que les administrateurs Linux recherchent régulièrement les vulnérabilités sur les serveurs et les corrigent lorsqu'une nouvelle vulnérabilité est détectée. Les conséquences d'un système non corrigé peuvent être désastreuses pour l'entreprise et sa réputation dans chacun des cas susmentionnés.

KernelCare Enterprise de TuxCare de TuxCare peut corriger toutes les vulnérabilités susmentionnées sans redémarrage du système ni temps d'arrêt. Avec cette solution, vous pouvez dire adieu aux méthodes de correction qui prennent du temps, sont risquées, créent des problèmes d'utilisation des logiciels et n'offrent que des solutions temporaires.

Avec KernelCare, les correctifs critiques et non critiques sont appliqués à vos serveurs dès qu'ils sont disponibles, et ils sont déployés en arrière-plan pendant que vos systèmes fonctionnent. Il n'y a pas de retard, pas de solution de contournement fastidieuse, pas de programmation d'opérations de maintenance, pas de temps d'arrêt et, surtout, pas d'ouvertures vulnérables pour les attaquants potentiels.

Les informations sur les correctifs de KernelCare Enterprise sont disponibles à l'adresse suivante patches.kernelcare.com.

Résumé
Vulnérabilités du noyau Linux à connaître (et à atténuer sans redémarrage)
Nom de l'article
Vulnérabilités du noyau Linux à connaître (et à atténuer sans redémarrage)
Description
Découvrez une vulnérabilité récente du noyau Linux découverte en 2023 et des solutions pour y remédier sans redémarrer.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information