Se ha publicado una exploit de prueba crítica (POC) debido a una vulnerabilidad crítica en el subsistema NFTables en el núcleo Linux, rastreado como CVE-2024-26809.
Arraigado en la infraestructura de netfilter del núcleo, esta falla expone los sistemas afectados a la escalada de privilegios locales a través de ataques dobles sofisticados.
Los investigadores de seguridad, incluido el usuario “Conlonialc”, demuestran cómo armarse el error para lograr el acceso a nivel de raíz, destacando la urgencia de los administradores del sistema para aplicar parches disponibles.
Descripción técnica de CVE-2024-26809
La vulnerabilidad se encuentra en el subsistema NFTables, diseñado para reemplazar los marcos de filtrado de paquetes heredados, como iptables e IP6tables.
NFTables se basa en varios componentes del núcleo central, incluida la estructura NFT_SET_PIPAPO para administrar un conjunto de reglas de filtrado.
Las fallas afectan la función nft_pipapo_destroy () en el módulo neto/netfilter del núcleo.
Bajo ciertas condiciones, esta función puede intentar liberar la misma área de memoria dos veces en dos escenarios clásicos de doble libre si el conjunto está marcado como “sucio” y la representación de “coincidencia” y “clon” contienen elementos superpuestos.
La ruta del código vulnerable se puede resumir de la siguiente manera:
Aquí, si el conjunto está sucio, nft_set_pipapo_match_destroy () se puede llamar dos veces en elementos que existen tanto en “coincidencias” como en “clon”, lo que lleva a un estado doble.
Proceso de explotación
Una exploit POC lanzada creada por Conlonialc demuestra meticulosamente cómo explotar esta vulnerabilidad para la escalada de privilegios locales.
El ataque comienza con la creación de un conjunto de pipapo e insertando múltiples elementos, asegurándose de que el conjunto esté marcado sucio.
El atacante luego desencadena una destrucción establecida, liberando el mismo elemento establecido en el núcleo dos veces. Este doble libre corrompe el montón de núcleos que se dirigen específicamente al caché de objetos KMALLOC-256, comúnmente utilizado para la asignación de objetos de núcleo.
Al ajustar cuidadosamente las asignaciones y transacciones de montón, las exploits logran algunos objetivos avanzados.
Objetos duplicados de NFTables en la memoria habilitar las filtraciones de la dirección. Los punteros de la función de secuestro como Expr-> OPS-> Dump Redirect el flujo de ejecución del núcleo. Realice una cadena de programación orientada a retorno (ROP) para aumentar los privilegios y generar la carcasa de la raíz.
Una parte importante de la exploit es manipular las estructuras de datos internos del núcleo para controlar el puntero de instrucciones (RIP).
El atacante crea un objeto NFT_EXPR falso, usa gadgets ROP para pivotar la pila y finalmente ejecuta código arbitrario en el contexto del núcleo.
La confiabilidad de Exploit se ve reforzada por su capacidad para recuperar los trozos de montón liberados y las direcciones de núcleo de fuga, sin pasar por la mitigación general.
El siguiente extracto muestra las operaciones de montón y la configuración de ROP utilizada en el POC.
Esta secuencia muestra cómo un atacante puede redirigir la ejecución a un dispositivo ROP personalizado, con acceso a la raíz en su pico.
Versiones afectadas
CVE-2024-26809 afecta a Linux Kernel versión 5.15.54 y más tarde, incluidas las ramas de 6.1 y 6.6 LTS.
La vulnerabilidad se ha abordado en actualizaciones recientes del núcleo, lanzando parches para todas las versiones de la distribución compatible, como los parches de lanzamiento de Debian, Ubuntu y Suse.
Esta solución asegura que el elemento se libere solo de la ruta “clon” durante la destrucción configurada, evitando las condiciones dobles.
Los administradores del sistema recomiendan encarecidamente que aplique las últimas actualizaciones de seguridad de inmediato. Los sistemas a continuación aún son vulnerables a los atacantes locales que pueden explotar este defecto para obtener el control total de las máquinas afectadas.
La publicación de la exploit funcional CVE-2024-26809 indica una escalada significativa del panorama de amenazas para los servidores y estaciones de trabajo de Linux.
Exploit introduce operaciones de montón avanzadas y técnicas de explotación del núcleo, lo que lo convierte en una herramienta poderosa para los atacantes.
El parche rápido y el cumplimiento de las mejores prácticas de seguridad son esenciales para mitigar los riesgos que se plantean con esta vulnerabilidad.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
