Paskudna dziura w firewallu Linuksa
Ledwie informowaliśmy o krytycznej podatności nazwanej Dirty Pipe, a następnie o opóźnieniu premiery nowej wersji Linuksa, a już mamy do czynienia z kolejną groźną luką w bezpieczeństwie kernela. Tym razem „padło” na netfilter, komponent odpowiadający za firewall jądra, który pozostaje krytyczny dla bezpieczeństwa systemów.
Groźna dziura w netfilter
W linuksowych firewallach zaszło w ostatnim czasie wiele zmian. Standardem staje się stosowanie choćby nftables, zaś iptables – nieśpiesznie, bo nieśpieszenie – ale odchodzi do lamusa. Za tym bogactwem wyboru stoi jednak rdzenny komponent, właśnie netfilter. Proof-of-concept opracowane przez Nicka Gregory’ego z Sophos pokazuje, że z użyciem podatności CVE-2022-25636 można dowolnie eskalować uprawnienia aż do najwyższych, czy opuszczać kontenery. Słowem – można wszystko.
Sprawa jest więc poważna, ale jak to możliwe? Otóż problem tkwi w metodach, dzięki którym wspomniany demon netfilter niepoprawnie obsługuje komponenty sprzętowe, a konkretniej mechanizm hardware offload. Jest to sposób na odciążenie CPU, dzięki delegowaniu na sprzęt zadań z reguły realizowanych już na poziomie software’owym.
Aktualizuj się!
W rezultacie wystarczy sprawny DoS, by wykonać de facto dowolną instrukcję na linuksowym systemie. Aktualnie podatność uzyskała klasyfikację 7,8 według metodologii CVSS i obejmuje wszystkie największe dystrybucje, łącznie z Debianem, Ubuntu czy SUSE LE. Wszystkie te systemy te zostały już załatane, zachęcamy do jak najszybszej aktualizacji.