La vulnerabilidad recientemente descubierta CVE-2024-53141 en el marco del conjunto de IP del núcleo de Linux expuso una falla de seguridad crítica que permite a los atacantes locales aumentar los privilegios y potencialmente obtener acceso a la raíz.
La vulnerabilidad asignó una puntuación CVSS de 7.8, revelada por los investigadores ST424204 y D4EM0N, afecta el tipo de conjunto de mapa de bits: IP, particularmente dentro del subsistema de NetFilter.
Vulnerabilidad del conjunto de IP del kernel de Linux-CVE-2024-53141
El defecto es causado por un manejo incorrecto del parámetro ipset_attr_cidr cuando TB (ipset_attr_ip_to) no está presente.
“Si TB (ipset_attr_ip_to) no está presente, pero TB (ipset_attr_cidr) está presente, los valores IP e IP_TO se intercambian ligeramente. Por lo tanto, las verificaciones de rango de IP deben realizarse más adelante, pero esta parte falta”, explica Ubuntu Security Advisory.
Pase de explotación
El impacto de la seguridad es grave. La cadena de exploit documentada en el repositorio del investigador demuestra cómo los atacantes pueden aprovechar este defecto y lograrlo.
Escribe acceso al montón de núcleo que no está atado, lo que permite filtrarse direcciones. Cualquier valor escribe fuera de los límites de la memoria asignada. Convierte condiciones no válidas a vulnerabilidades no válidas. Bypass de aleatorización de la aleatorización del espacio del espacio del núcleo (KASLR). Redireccionando el flujo de ejecución del núcleo al código de control del atacante.
El código de explotación se dirige específicamente a la implementación bitmap_ip de net/netfilter/ipset/ip_set_bitmap_ip.c. Aquí, las llamadas de función como IP_TO_ID crean vulnerabilidades.
POC Exploits Aproveche varias primitivas avanzadas:
Fuga de la dirección del montón: al aprovechar la extensión de comentarios de ip_set_init_comment, los atacantes pueden filtrar las direcciones de almacenamiento del núcleo de los fragmentos de memoria adyacentes. Cualquier OOB Write: IP_SET_INIT_COUNTER El contador de la extensión permite a los atacantes escribir valores controlados fuera de sus límites asignados. Después de su uso: manipulando la estructura MSG_MSGSEG, las escrituras OOB se convierten a UAF, lo que permite una mayor explotación. Kaslr Bypass: Exploit utiliza la reasignación de spray y objetos HAP para filtrar direcciones de texto del núcleo y derrota la aleatorización de los diseños de espacio de direcciones de núcleo. Control de RIP y ejecución de la cadena de ROP: a través de operaciones precisas de montón, el atacante gana el control del puntero de instrucciones (RIP), anula la variable de núcleo Core_Pattern y redirige la ejecución a la cadena de ROP manipulada que finalmente genera la carcasa de la raíz. Factores de riesgo Detalles AFTECTECTECTECTECTECTECTECED VERSIONES DEL NEUNTO DE LINGLINUX 2.6.39 a 4.19.325, 6.6.64, 6.11.11 y 6.12.2 (excepto las versiones de parche) Valor de impacto REJUENETE REJUNEA ESCALACIÓN, Ejecución de código a nivel de kernel, bypass de Kassler, rotación de la memoria de la capa de pila y acceso a la piel de caparazón de la brasa acceso a la raíz
Acceso local de bajo privilegiado (CVSS: 3.1/PR: L). SUSE lo califica como que requiere altos privilegios (PR: puntaje HCVS 3.1 7.8 (alto)
Versiones y reparaciones afectadas
Las vulnerabilidades afectan las versiones del núcleo de 4.19.325, 6.6.64, 6.11.11 y 2.6.39 antes de 6.12.2 a las versiones. El código de explotación del repositorio está dirigido a Linux Kernel 6.6.62.
Los expertos en seguridad recomiendan parches inmediatos como la mitigación más efectiva. Las correcciones que agregan las verificaciones de rango apropiadas a la función BitMap_IP_uadt están integradas en los núcleos de Linux 4.19.325, 6.6.64, 6.11.11, 6.12.2 y luego más tarde.
“Esta vulnerabilidad amenaza una poderosa cadena de exploit que puede conducir a la escalada de privilegios, el omisión de Kaslr y la ejecución completa del código de nivel de kernel”, se lee en el aviso de seguridad.
Los administradores del sistema recomiendan actualizar los sistemas afectados de inmediato, ya que la disponibilidad general del código de exploit aumenta significativamente la probabilidad de ataques dirigidos menos o igual a menos del sistema.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
