Cacat kernel Linux NetFilter baru telah ditemukan, memungkinkan pengguna lokal yang tidak memiliki hak istimewa untuk meningkatkan hak istimewa mereka ke tingkat root, memungkinkan kontrol penuh atas suatu sistem.
Itu CVE-2023-32233 pengidentifikasi telah dicadangkan untuk kerentanan, tetapi tingkat keparahan belum ditentukan.
Masalah keamanan berasal dari Netfilter nf_tables yang menerima pembaruan yang tidak valid untuk konfigurasinya, memungkinkan skenario tertentu di mana permintaan batch yang tidak valid menyebabkan kerusakan status internal subsistem.
Netfilter adalah kerangka pemfilteran paket dan terjemahan alamat jaringan (NAT) yang dibangun ke dalam kernel Linux yang dikelola melalui utilitas front-end, seperti IPtables dan UFW.
Menurut penasihat baru yang diterbitkan kemarin, merusak keadaan internal sistem menyebabkan kerentanan penggunaan setelah bebas yang dapat dieksploitasi untuk melakukan pembacaan dan penulisan sewenang-wenang dalam memori kernel.
Seperti yang diungkapkan oleh peneliti keamanan yang memposting di milis Openwall, exploit proof-of-concept (PoC) dibuat untuk menunjukkan eksploitasi CVE-2023-32233.
Peneliti menyatakan bahwa dampak dari beberapa rilis kernel Linux, termasuk versi stabil saat ini, v6.3.1. Namun, untuk mengeksploitasi kerentanan, pertama-tama diperlukan akses lokal ke perangkat Linux.
Kernel Linux komit kode sumber diajukan untuk mengatasi masalah tersebut oleh insinyur Pablo Neira Ayuso, memperkenalkan dua fungsi yang mengelola siklus hidup set anonim di subsistem Netfilter nf_tables.
Dengan mengelola aktivasi dan penonaktifan set anonim dengan benar dan mencegah pembaruan lebih lanjut, perbaikan ini mencegah kerusakan memori dan kemungkinan penyerang mengeksploitasi masalah penggunaan setelah bebas untuk meningkatkan hak istimewa mereka ke tingkat root.
Eksploitasi akan segera dipublikasikan
Peneliti keamanan Patryk Sondej dan Piotr Krysiuk, yang menemukan masalah tersebut dan melaporkannya ke tim kernel Linux, mengembangkan PoC yang memungkinkan pengguna lokal yang tidak memiliki hak untuk memulai root shell pada sistem yang terpengaruh.
Para peneliti membagikan eksploitasi mereka secara pribadi dengan tim kernel Linux untuk membantu mereka mengembangkan perbaikan dan menyertakan tautan ke deskripsi terperinci tentang teknik eksploitasi yang digunakan dan kode sumber PoC.
Seperti yang dijelaskan lebih lanjut oleh para analis, eksploitasi akan dipublikasikan Senin depan, 15 Mei 2023, bersama dengan detail lengkap tentang teknik eksploitasi.
“Sesuai dengan kebijakan daftar distro linux, eksploit harus diterbitkan dalam waktu 7 hari sejak penasehat ini. Untuk mematuhi kebijakan tersebut, saya bermaksud untuk menerbitkan deskripsi teknik eksploitasi dan juga kode sumber eksploit pada hari Senin tanggal 15, ” membaca Pos ke milis Openwall.
Memperoleh hak istimewa tingkat root pada server Linux adalah alat yang berharga bagi pelaku ancaman, yang diketahui memantau Openwall untuk informasi keamanan baru yang akan digunakan dalam serangan mereka.
Faktor mitigasi untuk CVE-2023-32233 adalah penyerang jarak jauh terlebih dahulu harus membuat akses lokal ke sistem target untuk mengeksploitasinya.
