Vulnerabilità sfruttata nel codice nftables di Linux

CrowdStrike ha evidenziato che una vulnerabilità nel codice nftables del kernel Linux, scoperta all’inizio di quest’anno, è attualmente sfruttata attivamente in natura. Questa vulnerabilità consente l’elevazione dei privilegi locali. La maggior parte delle distribuzioni ha già distribuito una correzione per questo problema. L’exploit dipende dall’accesso non privilegiato ai namespaces degli utenti, una funzionalità abilitata di default su Debian, Ubuntu e le distribuzioni CTF del kernel. Un attaccante può attivare la vulnerabilità del double-free, scansionare la memoria fisica per l’indirizzo base del kernel, aggirare la KASLR e accedere alla variabile kernel modprobe_path con privilegi di lettura/scrittura. Sovrascrivendo modprobe_path, l’exploit ottiene una shell root.