Pour la deuxième fois en deux semaines, une importante vulnérabilité d’élévation de privilèges a été découverte sous Linux.
La vulnérabilité connue sous le nom de « Dirty Frag » permet de passer d’un utilisateur non privilégié à un accès root via des composants vulnérables de réseau du noyau et de gestion des fragments de mémoire, selon l’équipe de recherche en sécurité de Microsoft Defender.
Un attaquant disposant d’un accès root à un système a carte blanche pour faire tout ce que le système d’exploitation lui permet. « Rooter sur un serveur Linux change complètement la nature d’un incident », a déclaré Jacob Krell, directeur principal des solutions d’IA sécurisées et de la cybersécurité chez Suzu Labs, à Las Vegas, un fournisseur de services de cybersécurité basés sur l’IA.
« Un attaquant passe d’un accès limité à un contrôle total, acquérant la possibilité de falsifier les outils de sécurité et les journaux tout en utilisant l’hôte comme point de départ pour une compromission plus profonde », a-t-il déclaré à LinuxInsider. « La question n’est plus de savoir si l’hôte était vulnérable mais plutôt de savoir si l’organisation peut toujours faire confiance à ce que cet hôte lui dit. »
« La vulnérabilité va être utilisée conjointement avec tout ce qui donne un premier point d’ancrage à un attaquant », a ajouté Ben Ronallo, ingénieur principal en cybersécurité chez Black Duck Software, une société de sécurité des applications à Burlington, Massachusetts.
« Par exemple, le forçage brutal de SSH peut donner à un attaquant l’accès à un système avec un compte à faible privilège », a-t-il déclaré à LinuxInsider. « Avec cet accès, l’attaquant peut ensuite exploiter Dirty Frag pour élever ses privilèges vers un accès root complet. »
« À ce stade, l’attaquant peut pivoter en fonction de ce qui est à sa disposition », a-t-il poursuivi. « Ils récupéreront presque certainement les informations d’identification et rechercheront des systèmes connectés pour se déplacer latéralement. Si le système compromis est utilisé pour le développement de logiciels, ils pourraient potentiellement introduire des logiciels malveillants. »
Classe de bogues émergents
Microsoft a noté que les rapports publics et les activités de preuve de concept indiquent que l’exploit est conçu pour fournir une élévation de privilèges plus fiable que les techniques traditionnelles d’élévation de privilèges locales Linux dépendant des conditions de concurrence.
Il explique que la vulnérabilité peut être exploitée après une compromission initiale via un accès SSH, l’exécution d’un shell Web, l’échappement d’un conteneur ou la compromission d’un compte à faible privilège.
Les environnements concernés, ajoute-t-il, peuvent inclure les déploiements Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE et OpenShift.
« Dirty Frag est intéressant car il fait partie d’une classe émergente de bogues d’élévation de privilèges Linux dans lesquels les chemins rapides du réseau croisent accidentellement la mémoire sauvegardée en cache de pages », a déclaré Ariadne Conill, co-fondatrice et ingénieure distinguée chez Edera, une société de sécurité cloud à Seattle.
Les attaquants exploitent la vulnérabilité Dirty Frag en exploitant les défaillances logiques dans les chemins rapides de décryptage sur place du noyau pour les modules réseau esp4, esp6 et rxrpc, a expliqué Jason Soroko, chercheur principal chez Sectigo, un fournisseur mondial de certificats numériques.
« En utilisant l’appel système splice(), un utilisateur non privilégié peut forcer le noyau à écrire directement dans le cache de pages de fichiers protégés basé sur la RAM », a-t-il déclaré à LinuxInsider. « Cette manipulation transforme les cibles en lecture seule en surfaces inscriptibles et garantit un accès root immédiat sans risquer un crash du système. »
« Cet exploit présente un risque structurel urgent pour les environnements d’entreprise, en particulier les serveurs multi-locataires et les charges de travail conteneurisées, car les modifications malveillantes n’existent qu’en mémoire et restent invisibles pour les outils de sécurité de hachage de disque traditionnels », a-t-il déclaré.
Risque de conception récurrent
« Comme Copy Fail, il abuse de la plomberie sans copie des styles splice(2) et vmsplice(2), mais la primitive d’écriture de Dirty Frag provient de la gestion des fragments de réseau, en particulier des chemins ESP/XFRM et RxRPC, plutôt que d’un chemin de système de fichiers plus évident », a déclaré Conill, qui est également le responsable de Wolfi Linux, à LinuxInsider.
Copy Fail est une vulnérabilité Zero Day du noyau Linux découverte en avril qui permet à tout utilisateur authentifié d’obtenir les privilèges root sur presque toutes les distributions Linux depuis 2017.
« Ce qui distingue Dirty Frag de nombreux noyaux plus anciens (Local Privilege Escalations), c’est que l’exploitation semble relativement déterministe et ne repose pas sur une condition de concurrence fragile », a déclaré Conill. « Cela le rend plus utile sur le plan opérationnel une fois qu’un attaquant a déjà exécuté du code local. »
« Ce qu’il faut retenir de plus large, c’est que Dirty Frag ressemble moins à un bug isolé qu’à une preuve d’un risque de conception récurrent », a-t-elle ajouté. « En d’autres termes, c’est un exemple de classe de vulnérabilité. »
« Linux s’appuie de plus en plus sur des chemins réseau sans copie qui réutilisent le cache de pages et les fragments de pages pour des raisons de performances », a-t-elle poursuivi. « Si les limites de propriété et d’écriture ne sont pas extrêmement bien appliquées, des vulnérabilités similaires continueront probablement à apparaître. »
Contourner les atténuations antérieures
Krell de Suzu Labs a expliqué que Dirty Frag est une deuxième implémentation de la même idée dangereuse derrière Copy Fail et Dirty Pipe. « Cela transforme le comportement du cache de pages en un chemin racine fiable via différents composants du noyau », a-t-il expliqué. « L’exploit est déterministe et ne nécessite aucune fenêtre temporelle, ce qui signifie qu’il fonctionne de manière fiable sans faire planter le système. »
« Le détail qui devrait le plus préoccuper les organisations est que Dirty Frag contourne les atténuations déployées pour Copy Fail », a-t-il prévenu. « Il atteint la racine via esp/xfrm et rxrpc plutôt que par algif_aead, ce qui signifie que le contrôle intérimaire recommandé il y a deux semaines ne le couvre pas. »
« Le code d’exploitation fonctionnel était public avant que les correctifs ne soient disponibles, et Red Hat ainsi que le Centre canadien pour la cybersécurité ont émis des avis urgents », a-t-il ajouté. « Attendre transforme une vulnérabilité réparable en un problème d’expulsion bien plus coûteux. »
David Brumley, directeur de l’IA et de la science chez Bugcrowd, une plateforme de bug bounty basée à San Francisco, a averti que même si les outils avancés de sécurité de l’IA sont importants, ils ne suppriment pas toutes les vulnérabilités.
« Copy Fail a été trouvé grâce à une analyse avancée de l’IA », a-t-il déclaré à LinuxInsider, « cependant, le bogue Dirty Frag associé a toujours été manqué. »
« Ce n’est pas un coup porté à l’IA », a-t-il poursuivi. « Cela aide déjà énormément. Cela nous rappelle que les classes de vulnérabilité sont rarement épuisées par un seul passage, même très bon. Les chercheurs indépendants restent importants car ils apportent des intuitions différentes, des flux de travail différents et des modes de défaillance différents. »
Risque d’entreprise
Le risque que représente Dirty Frag pour l’entreprise dépend de la façon dont l’accès à Linux est géré dans votre environnement, a noté Shane Barney, responsable de la sécurité de l’information chez Keeper Security, une société de gestion de mots de passe et de stockage en ligne à Chicago.
« Tous les déploiements ne sont pas également exposés », a-t-il déclaré à LinuxInsider. « Les charges de travail conteneurisées renforcées présentent une barre plus haute que les machines virtuelles ou les serveurs nus, où les utilisateurs disposent d’un accès local persistant. »
« Mais les conséquences de l’atteinte des racines sont constantes, quelle que soit la manière dont vous y parvenez », a-t-il déclaré. « Les outils de sécurité sont désactivés, les identifiants sont récupérés, les attaquants se déplacent latéralement et la piste se refroidit. Le point d’ancrage initial n’est que le point d’entrée. »
« Les correctifs arrivent mais ne sont pas encore entièrement en main », a-t-il ajouté. « Appliquez ce qui est disponible maintenant et restez proche des avis des fournisseurs pour le reste. »
« La question la plus importante que chaque équipe de sécurité devrait se poser à l’heure actuelle est de savoir si les conditions qui rendent cette faille conséquente existent déjà dans leur environnement », a-t-il observé. « Ces conditions peuvent être résolues aujourd’hui, quel que soit le calendrier des correctifs. »
