Se descubrió una nueva falla en el kernel de Linux NetFilter, que permite a los usuarios locales sin privilegios escalar sus privilegios al nivel raíz, lo que permite un control completo sobre un sistema.
El identificador CVE-2023-32233 se ha reservado para la vulnerabilidad, pero aún no se ha determinado un nivel de gravedad.
El problema de seguridad se debe a que Netfilter nf_tables acepta actualizaciones no válidas de su configuración, lo que permite escenarios específicos en los que las solicitudes por lotes no válidas conducen a la corrupción del estado interno del subsistema.
Netfilter es un marco de filtrado de paquetes y traducción de direcciones de red (NAT) integrado en el kernel de Linux que se administra a través de utilidades front-end, como IPtables y UFW.
Según un nuevo aviso, corromper el estado interno del sistema conduce a una vulnerabilidad de uso posterior a la liberación que puede explotarse para realizar lecturas y escrituras arbitrarias en la memoria del núcleo.
Tal como lo revelaron los investigadores de seguridad que publicaron en la lista de correo de Openwall, se creó un exploit de prueba de concepto (PoC) para demostrar la explotación de CVE-2023-32233.
El investigador afirma que afecta múltiples versiones del kernel de Linux, incluida la versión estable actual, v6.3.1. Sin embargo, para aprovechar la vulnerabilidad, primero se requiere tener acceso local a un dispositivo Linux.
El ingeniero Pablo Neira Ayuso envió una confirmación del código fuente del kernel de Linux para abordar el problema, introduciendo dos funciones que administran el ciclo de vida de los conjuntos anónimos en el subsistema Netfilter nf_tables.
Al administrar adecuadamente la activación y desactivación de conjuntos anónimos y bloquear más actualizaciones, se evita la corrupción de la memoria y la posibilidad de que los atacantes exploten el problema de uso después de la liberación para escalar sus privilegios al nivel raíz.
El exploit se hará público pronto.
Los investigadores de seguridad Patryk Sondej y Piotr Krysiuk, quienes descubrieron el problema y lo informaron al equipo del kernel de Linux, desarrollaron un PoC que permite a los usuarios locales sin privilegios iniciar un shell raíz en los sistemas afectados.
Los investigadores compartieron su exploit en privado con el equipo del kernel de Linux para ayudarlos a desarrollar una solución e incluyeron un enlace a una descripción detallada de las técnicas de explotación empleadas y el código fuente de la PoC.
Como explicaron los analistas, el exploit se publicará el próximo lunes 15 de mayo de 2023, junto con detalles completos sobre las técnicas de explotación.
"De acuerdo con la política de la lista de distribuciones de Linux, el exploit debe publicarse dentro de los 7 días posteriores a este aviso. Para cumplir con esa política, tengo la intención de publicar tanto la descripción de las técnicas de explotación como el código fuente del exploit el lunes 15, " lee una publicación en la lista de correo de Openwall.
Obtener privilegios de nivel raíz en servidores Linux es una herramienta valiosa para los actores de amenazas, que son conocidos por monitorear Openwall en busca de nueva información de seguridad para usar en sus ataques.
Un factor atenuante para CVE-2023-32233 es que los atacantes remotos primero deben establecer acceso local a un sistema de destino para explotarlo.
