Paskudna dziura w firewallu Linuksa

Ledwie informowaliśmy o krytycznej podatności nazwanej Dirty Pipe, a następnie o opóźnieniu premiery nowej wersji Linuksa, a już mamy do czynienia z kolejną groźną luką w bezpieczeństwie kernela. Tym razem „padło” na netfilter, komponent odpowiadający za firewall jądra, który pozostaje krytyczny dla bezpieczeństwa systemów.

Groźna dziura w netfilter

W linuksowych firewallach zaszło w ostatnim czasie wiele zmian. Standardem staje się stosowanie choćby nftables, zaś iptables – nieśpiesznie, bo nieśpieszenie – ale odchodzi do lamusa. Za tym bogactwem wyboru stoi jednak rdzenny komponent, właśnie netfilter. Proof-of-concept opracowane przez Nicka Gregory’ego z Sophos pokazuje, że z użyciem podatności CVE-2022-25636 można dowolnie eskalować uprawnienia aż do najwyższych, czy opuszczać kontenery. Słowem – można wszystko. 

Sprawa jest więc poważna, ale jak to możliwe? Otóż problem tkwi w metodach, dzięki którym wspomniany demon netfilter niepoprawnie obsługuje komponenty sprzętowe, a konkretniej mechanizm hardware offload. Jest to sposób na odciążenie CPU, dzięki  delegowaniu na sprzęt zadań z reguły realizowanych już na poziomie software’owym. 

Aktualizuj się!

W rezultacie wystarczy sprawny DoS, by wykonać de facto dowolną instrukcję na linuksowym systemie. Aktualnie podatność uzyskała klasyfikację 7,8 według metodologii CVSS i obejmuje wszystkie największe dystrybucje, łącznie z Debianem, Ubuntu czy SUSE LE. Wszystkie te systemy te zostały już załatane, zachęcamy do  jak najszybszej aktualizacji.