Plusieurs vulnérabilités de Netfilter détectées dans le noyau Linux
En 2023, un total de 233 vulnérabilités ont été découvertes dans le noyau Linux, avec un score moyen de 6,5 sur 10 pour la base CVE (Common Vulnerability and Exposure). De nombreuses failles de sécurité, de gravité moyenne à élevée, ont été découvertes dans le sous-système Netfilter du noyau Linux. Le noyau Linux est devenu sensible à ces vulnérabilités de Netfilter, avec la possibilité de provoquer une escalade locale des privilèges ou même des pannes du système.
La base de données nationale sur les vulnérabilités (National Vulnerability Database - NVD) a évalué la gravité de ces vulnérabilités comme étant "élevée", ce qui indique leur capacité à infliger des dommages importants. Il est impératif de remédier rapidement à ces vulnérabilités afin d'atténuer efficacement les risques potentiels.
Dans ce billet de blog, nous allons examiner quelques vulnérabilités de haute sévérité découvertes dans le sous-système netfilter du noyau Linux.
Vulnérabilités de Netfilter de haute gravité
CVE-2023-4244
Une vulnérabilité a été identifiée dans le composant netfilter du noyau Linux connu sous le nom de nf_tables, qui peut potentiellement être exploitée pour une escalade locale des privilèges. Cette vulnérabilité provient d'une condition de course survenant entre la transaction du plan de contrôle du lien réseau de nf_tables et le processus de collecte de déchets des éléments nft_set. En conséquence de cette condition de course, il devient possible de déclencher un dépassement de capacité du compteur de référence, ce qui entraîne une vulnérabilité de type "use-after-free" (utilisation après libération).
CVE-2023-3777
Une vulnérabilité de type "use-after-free" dans le composant netfilter du noyau Linux, spécifiquement nf_tables, a le potentiel d'être exploitée pour une escalade locale des privilèges. Cette vulnérabilité devient apparente lors du nettoyage des règles de table dans la fonction nf_tables_delrule(), qui ne parvient pas à valider si la chaîne est liée. De plus, dans certaines circonstances, la règle propriétaire de la chaîne peut également libérer des objets, ce qui aggrave le problème.
CVE-2023-4015
Il existe une vulnérabilité de type "use-after-free" dans le composant netfilter du noyau Linux, en particulier dans nf_tables, qui peut être manipulée pour réaliser une escalade locale des privilèges. Cette vulnérabilité se manifeste dans des scénarios où une erreur se produit pendant la construction d'une règle nftables. Lorsqu'une telle erreur se produit, la désactivation des expressions immédiates dans la fonction nft_immediate_deactivate() peut entraîner le délien involontaire de la chaîne, conduisant à des objets désactivés qui sont utilisés par la suite.
CVE-2023-4147
Une vulnérabilité de type "use-after-free" a été identifiée dans la fonctionnalité Netfilter du noyau Linux lors de l'ajout d'une règle avec NFTA_RULE_CHAIN_ID. Un attaquant peut utiliser cette vulnérabilité pour planter le système ou élever ses privilèges.
CVE-2023-3610
Une vulnérabilité de type "use-after-free" a été détectée dans le composant netfilter du noyau Linux, en particulier dans nf_tables, qui peut être exploitée pour atteindre une escalade locale des privilèges. Cette vulnérabilité trouve son origine dans le mécanisme de traitement des erreurs des chaînes liées, conduisant à une situation d'utilisation après coup dans le chemin d'abandon de NFT_MSG_NEWRULE. Il est important de noter que le déclenchement de cette vulnérabilité nécessite d'avoir les privilèges CAP_NET_ADMIN.
CVE-2023-3390
Une vulnérabilité de type "use-after-free" a été identifiée dans le sous-système netfilter du noyau Linux, plus précisément dans le fichier net/netfilter/nf_tables_api.c. Cette vulnérabilité provient d'une mauvaise gestion des erreurs associées à NFT_MSG_NEWRULE, permettant l'exploitation d'un pointeur suspendu au sein de la même transaction, ce qui entraîne une situation de type "use-after-free". Cette faille peut être exploitée par un attaquant local disposant d'un accès de niveau utilisateur, ce qui peut conduire à une élévation de privilèges.
Live Patching pour atténuer les vulnérabilités de Netfilter
Il est d'une importance capitale de corriger les vulnérabilités de Netfilter afin de protéger votre système contre les attaques potentielles par déni de service (DoS) et la fuite d'informations sensibles. KernelCare Enterprise est une solution viable qui rationalise le processus de déploiement automatisé des correctifs. Cet outil vous permet d'appliquer des correctifs de sécurité sans nécessiter de redémarrage du système ni perturber les opérations en cours. En outre, ces correctifs peuvent être déployés rapidement dès qu'ils sont disponibles.
KernelCare Enterprise prend en charge les correctifs en direct pour un large éventail de distributions Linux d'entreprise populaires, notamment Debian, RHEL, Ubuntu, CentOS, AlmaLinux, CloudLinux, et bien d'autres.
Pour mieux comprendre le fonctionnement du "live patching", vous pouvez également prendre rendez-vous avec nos experts.
Les sources de cet article comprennent un article du NIST.