Maker System Logo Large
Se connecter
Sécurité

CVE-2024-1086 : Une faille critique affectant le noyau Linux permet une élévation de privilèges

Faille securite linux cve 2024 1086

En octobre 2024, une nouvelle vulnérabilité critique a été identifiée dans le noyau Linux. Référencée sous le code CVE-2024-1086, cette faille permet une élévation de privilèges qui pourrait compromettre la sécurité de nombreux systèmes utilisant des distributions Linux courantes telles qu’Ubuntu, Debian, et Red Hat. La faille, localisée dans le composant netfilter: nf_tables, exploite un problème de « use-after-free », permettant à des attaquants locaux de manipuler les permissions pour obtenir un accès root, le niveau d’accès le plus élevé sur un système Linux.

Origine de la vulnérabilité

Découverte initialement en janvier 2024 par un chercheur en sécurité utilisant le pseudonyme ‘Notselwyn’, la faille CVE-2024-1086 est due à une gestion incorrecte des verdicts dans la fonction ‘nft_verdict_init()’. Lorsqu’un verdict de file d’attente (QUEUE) ou de rejet (DROP) est mal traité, cela provoque une double libération de la mémoire (double-free). Cette faille permet à un attaquant de rediriger des adresses mémoire en liant des adresses physiques à des adresses virtuelles via des manipulations de l’espace utilisateur. Il en résulte un accès complet au système, donnant potentiellement aux attaquants la possibilité d’exécuter des commandes à distance avec des privilèges élevés.

L’impact sur les distributions Linux

Les distributions les plus touchées incluent Ubuntu, Red Hat, Debian, et SUSE. Selon SecurityWeek, des correctifs ont été rapidement déployés, mais la nature publique des exploits a rendu ces systèmes particulièrement vulnérables​ SecurityWeek. Canonical, l’éditeur d’Ubuntu, a rapidement publié des mises à jour pour ses versions supportées, y compris Ubuntu 22.04 et 24.04 LTS, en appelant les administrateurs systèmes à appliquer ces correctifs dès que possible​ Ubuntu.

De plus, CISA (Cybersecurity & Infrastructure Security Agency) a ajouté cette faille à son catalogue des vulnérabilités exploitées activement, en avertissant que les attaquants sont déjà en train de cibler cette faille​ BleepingComputer. Ils ont aussi noté que la vulnérabilité affecte les versions du noyau Linux comprises entre 5.14 et 6.6, ce qui inclut de nombreux systèmes en production. Les administrateurs doivent impérativement s’assurer que leurs systèmes sont mis à jour avec les correctifs publiés.

Exploitation en cours et patchs disponibles

L’exploit de la faille CVE-2024-1086, publié sur des forums de hacking, permet aux attaquants d’accéder au noyau du système avec des droits d’administrateur. Les tests menés par Notselwyn ont démontré un taux de succès de 99,4 %, ce qui rend cette faille extrêmement dangereuse pour les systèmes non protégés. La CISA recommande l’application immédiate des correctifs disponibles et, lorsque cela n’est pas possible, des mesures de mitigation comme le blocage de ‘nf_tables’ ou la restriction des accès aux espaces de noms des utilisateurs​ BleepingComputer Enterprise Technology News and Analysis.

Certaines distributions, comme Red Hat, ont pris un peu plus de temps à publier leurs correctifs, laissant ainsi des systèmes vulnérables pendant plusieurs semaines après la divulgation publique de l’exploit BleepingComputer.

Mesures de mitigation et stratégies de défense

Pour les administrateurs ne pouvant pas mettre à jour leurs systèmes immédiatement, plusieurs stratégies de mitigation sont recommandées :

  1. Blocage de ‘nf_tables’ : Si ce module n’est pas nécessaire, il est conseillé de le désactiver pour réduire la surface d’attaque.
  2. Restreindre les accès aux espaces de noms des utilisateurs : Limiter l’utilisation des namespaces non privilégiés permet de diminuer le risque d’exploitation par des utilisateurs locaux non autorisés Enterprise Technology News and Analysis.
  3. Utilisation de solutions de patching en direct : Des outils comme KernelCare ou TuxCare permettent de patcher les systèmes sans nécessiter de redémarrage, garantissant ainsi une continuité de service tout en maintenant un haut niveau de sécurité ​TuxCare.

Réactions et leçons à tirer

Cette faille met en lumière l’importance de la gestion des vulnérabilités au sein des environnements Linux. Si les correctifs ont été déployés rapidement par la communauté open-source, l’exploitation publique des failles montre que les acteurs malveillants réagissent de plus en plus vite. Le responsable de la sécurité chez Sonatype, Brian Fox, a souligné que les divulgations de vulnérabilités doivent être aussi transparentes et coordonnées que possible pour éviter des situations chaotiques et des attaques imprévues​ Enterprise Technology News and Analysis.

De plus, Canonical a rappelé l’importance des mises à jour de sécurité régulières et de la surveillance proactive des infrastructures critiques, en particulier pour les systèmes connectés à Internet. Sans ces pratiques, les entreprises et les organisations s’exposent à des risques majeurs pouvant entraîner des pertes de données ou des compromissions de services.

Conclusion

La vulnérabilité CVE-2024-1086 souligne la nécessité d’une vigilance constante dans la gestion des infrastructures Linux. Les administrateurs doivent rester informés des mises à jour de sécurité et implémenter les correctifs dès qu’ils sont disponibles. En outre, les stratégies de mitigation comme le blocage de modules non essentiels et l’utilisation de patchs en direct sont des mesures cruciales pour maintenir un niveau de sécurité élevé tout en assurant la disponibilité des services critiques.

 

Derniers articles

En collaboration avec notre partenaire de confiance
OVH Partner
Suivez-nous sur nos réseaux sociaux !
Linkedin-in Tiktok Instagram
Services
Entreprise
Support
Copyright© 2024 Maker System, tous les droits sont réservés.