Support technique
Documentation
Connexion
Nous contacter
TuxCare BlogQuand les scores CVSS ne disent pas tout : Le cas de CVE-2024-50302
par Joao Correia
14 mars 2025 - Évangéliste technique
Utilisez les liens suivants pour suivre l'état des correctifs pour CVE-2024-50302 pour KernelCare et Endless Lifecycle Support. Tous les correctifs pour toutes les distributions supportées et affectées seront disponibles sous peu.
Introduction
La communauté de la cybersécurité a suivi de près CVE-2024-50302, une vulnérabilité du noyau Linux qui, malgré son score CVSS modéré de 5,5, a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA. Cet ajout met en évidence une réalité importante dans la gestion des vulnérabilités : Les scores CVSS, bien que précieux, ne reflètent pas toujours le véritable potentiel de menace d'une vulnérabilité dans des scénarios réels.
Comprendre CVE-2024-50302
CVE-2024-50302 est une vulnérabilité dans le pilote HID (Human Interface Devices) du noyau Linux qui permet à des attaquants de potentiellement fuir la mémoire du noyau à travers des tampons de rapport non initialisés. La description technique est simple : le tampon de rapport HID n'était pas initialisé à zéro pendant l'allocation, ce qui créait une opportunité de divulgation d'informations.
La vulnérabilité a été corrigée en novembre 2024 avec un simple correctif : l'initialisation zéro du tampon de rapport pendant l'allocation pour empêcher les fuites de mémoire potentielles du noyau. Google a inclus ce correctif dans sa mise à jour de sécurité Android de mars 2025.
Au-delà des chiffres : L'impact dans le monde réel
Alors que MITRE a attribué à CVE-2024-50302 un score CVSS v3 de 5,5 (moyen), Red Hat l'a élevé à 6,1 dans son avis. Cette divergence est en soi un signe important : les fournisseurs plus proches de la mise en œuvre ont souvent une meilleure visibilité sur les scénarios d'exploitation pratiques.
Ce qui rend cette vulnérabilité particulièrement remarquable, c'est son exploitation confirmée dans la nature. Selon les rapports d'Amnesty International, cette vulnérabilité a probablement été exploitée par les outils de police scientifique mobile de Cellebrite pour déverrouiller le téléphone Android d'un étudiant militant serbe. Il s'agit là d'un problème important en matière de respect de la vie privée et des droits de l'homme, en particulier dans le contexte plus large de la surveillance de la société civile en Serbie.
La connexion Cellebrite
L'exploitation de CVE-2024-50302 semble faire partie d'un schéma plus large. Le laboratoire de sécurité de Google avait déjà fourni à des partenaires industriels des preuves d'une chaîne d'exploitation de la journée zéro de Cellebrite, ce qui a conduit à l'identification de trois vulnérabilités, dont CVE-2024-50302.
La suite UFED (Universal Forensic Extraction Device) de Cellebrite est conçue pour extraire des données à partir d'appareils mobiles, même sans accès aux codes d'accès de l'appareil - des capacités qui rendent ces outils précieux pour les forces de l'ordre mais potentiellement dangereux lorsqu'ils sont utilisés à mauvais escient pour cibler des activistes, des journalistes ou des opposants politiques.
La situation s'est aggravée au point qu'en février 2025, Cellebrite a annoncé qu'elle cesserait d'utiliser ses produits par certains clients en Serbie à la suite du rapport d'Amnesty International sur les abus en matière de surveillance.
La liste KEV de la CISA : Un signal critique
L'ajout par la CISA de CVE-2024-50302 à son catalogue de vulnérabilités exploitées connues (KEV) envoie un message clair aux organisations : cette vulnérabilité nécessite une attention immédiate, indépendamment de son score CVSS modéré.
C'est pourquoi les stratégies de gestion des vulnérabilités ne peuvent pas s'appuyer uniquement sur les scores CVSS pour établir des priorités. Bien que les systèmes de notation fournissent un moyen normalisé d'évaluer la gravité, ils ne prennent pas en compte des facteurs tels que :
- Exploitation active dans la nature
- Disponibilité du code d'exploitation
- Valeur stratégique pour certains acteurs de la menace
- Facilité d'exploitation
- Possibilité d'enchaînement avec d'autres vulnérabilités
Enseignements pour les équipes de sécurité
Le cas de CVE-2024-50302 offre plusieurs leçons importantes pour les praticiens de la sécurité :
- Ne vous contentez pas du score CVSS : Prioriser les vulnérabilités sur la base d'une évaluation holistique des menaces qui inclut l'état d'exploitation dans le monde réel.
- Surveiller les sources faisant autorité : Le catalogue KEV de la CISA, les avis spécifiques des fournisseurs et les rapports de veille sur les menaces fournissent souvent un contexte crucial que les scores numériques ne peuvent pas saisir.
- Considérez la chaîne d'attaque complète : Cette vulnérabilité montre comment des failles apparemment modérées peuvent devenir critiques lorsqu'elles sont utilisées dans le cadre d'une chaîne d'exploitation sophistiquée.
- Comprendre l'impact humain : Les failles de sécurité peuvent avoir des conséquences concrètes sur la vie privée, les droits de l'homme et les libertés civiles - des facteurs qui ne sont pas pris en compte dans les systèmes de notation technique.
Réflexions finales
CVE-2024-50302 rappelle qu'une gestion efficace des vulnérabilités nécessite de regarder au-delà des scores numériques pour comprendre le risque réel posé par les failles de sécurité. Lorsqu'une vulnérabilité figure sur la liste KEV de la CISA ou qu'elle est liée à une exploitation active par des outils tels que Cellebrite, les équipes de sécurité doivent la traiter avec une urgence accrue, quel que soit son score CVSS.
Pour les organisations utilisant des systèmes basés sur le noyau Linux, en particulier les appareils Android, la correction de cette vulnérabilité doit être considérée comme une priorité absolue, notamment en raison de son exploitation avérée dans le cadre d'opérations de surveillance ciblée.
Sources :
https://access.redhat.com/security/cve/cve-2024-50302
