C’è una nuova e critica vulnerabilità nel Kernel Linux che riguarda iptables ed è al momento attivamente sfruttata, parola di CISA

La U.S. Cybersecurity & Infrastructure Security Agency, altrimenti conosciuta come CISA, ossia l’agenzia americana che si preoccupa di scoprire e monitorare vulnerabilità informatiche, ha recentemente aggiunto nel proprio catalogo che si chiama KEV (e sta per Known Exploited Vulnerabilities) una nuova falla che affligge il Kernel Linux e che riguarda iptables, ossia il firewall nativo del Pinguino.

La CVE-2024-1086 descritta nell’articolo di Bleeping Computer pare che risalga addirittura al lontano 2014, anno in cui la modifica che ha portato il problema è stata inserita nel codice del Kernel, e consentirebbe un attaccante che abbia accesso locale alla macchina di effettuare una privilege escalation fino a raggiungere permessi di root.

La pubblicazione della CVE è coincisa con la patch portata nel Kernel a gennaio di quest’anno e, come indica l’articolo, è stata backportata sulle versioni stabili attualmente sul mercato, nello specifico:

  • v5.4.269 e successive
  • v5.10.210 e successive
  • v6.6.15 e successive
  • v4.19.307 e successive
  • v6.1.76 e successive
  • v5.15.149 e successive
  • v6.7.3 e successive

Il problema è che attualmente questa vulnerabilità è segnalata come attivamente sfruttata sulla rete, tanto che esiste un proof-of-concept (PoC) su GitHub, all’interno del quale viene spiegato come non sia poi così complicato sfruttare l’anomalia, con tanto di video (che abbiamo convertito in una GIF animata):

Il motivo per cui appare ancora molto diffusa nonostante l’esistenza delle patch riguarda ad esempio il fatto che dalla scoperta del problema alla produzione della patch sono passati mesi. Red Hat, tanto per citare la principale azienda open-source, ha pubblicato la fix solo a marzo, lasciando potenzialmente campo libero a quanti a conoscenza del problema di sfruttare a dovere il bug.

L’articolo consiglia anche come fare a limitare il problema nel caso una patch non sia disponibile, sono tre passi:

  • Bloccare il modulo incriminato nf_tables (se chiaramente questo non è attivamente utilizzato).
  • Restringere l’accesso agli user namespace per limitare la superficie d’attacco.
  • Caricare LKRG, ossia la Linux Kernel Runtime Guard, che però può portare instabilità al sistema.

Insomma, se non si fosse capito, l’applicazione della patch (ora che è disponibile) è più che suggerita.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

3 risposte a “C’è una nuova e critica vulnerabilità nel Kernel Linux che riguarda iptables ed è al momento attivamente sfruttata, parola di CISA”

  1. Avatar JustATiredMan
    JustATiredMan

    ecco… mai una gioia….
    comunque forse, come firewall, meglio usare qualcosa di basato su PF/*bsd più che Iptables/Linux… però ok, tutto è discutibile e hackerabile… e la vulnerabilità sono sempre dietro l'angolo per tutti.

  2. Avatar Raoul Scarazzini

    Il problema è che iptables su Linux ce l'hai a prescindere. Tutto il substrato di networking dei vari Docker/K8s/etc è basato su iptables, e quindi è difficile dire "lo disabilito" (se non impossibile)…

  3. Avatar JustATiredMan
    JustATiredMan

    A beh, si nel caso Docker et similia, son cavolacci acidi… e li si può solo aspettare la patch.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *