Se ha descubierto una vulnerabilidad crítica en el subsistema IPSet de NetFilter de Linux Kernel que permite a los atacantes locales aumentar los privilegios al acceso a nivel de raíz.
El defecto, identificado en la implementación de mapa de bits: IP dentro del marco IPSet, proviene de la validación de rango insuficiente al procesar la notación de CIDR en los rangos de direcciones IP.
Esta verificación de límites faltantes permite a los atacantes activar las escrituras de memoria fuera de los límites en el espacio del núcleo, proporcionando una vía para el compromiso completo del sistema.
Control de llave
1. Vulnerabilidad crítica en el subsistema IPSet de NetFilter de Linux Kernel permite a los atacantes activar las escrituras de memoria fuera de los límites.
2. Los atacantes con acceso local pueden explotar este defecto para obtener privilegios de raíz.
3. Actualice inmediatamente a las versiones del núcleo parcheado.
La vulnerabilidad afecta las versiones del núcleo de hasta 6.12.2 y se ha abordado a través de un parche recientemente publicado que implementa la validación de rango adecuada en todas las rutas de código.
Vulnerabilidad de NetFilter de Linux Kernel
Divulgación segura de SSD informa que La falla de seguridad reside en la función bitmap_ip_uadt dentro del archivo net/netfilter/ipset/ip_set_bitmap_ip.c, donde ocurre una validación insuficiente al procesar rangos de IP basados en CIDR.
El subsistema IPSet, diseñado para el filtrado de paquetes de alto rendimiento junto con IPTables y NFTables, utiliza estructuras de datos de mapa de bits para administrar eficientemente conjuntos de direcciones IPv4.
Cuando los usuarios especifican rangos de IP que usan notación CIDR a través de la interfaz NetFilter NetLink, la ruta de código vulnerable no puede verificar que el rango IP calculado caiga dentro de los límites de mapa de bits asignados.
La causa raíz surge cuando el atributo TB (ipset_attr_cidr) está presente pero TB (ipset_attr_ip_to) está ausente.
En este escenario, la función IP_SET_MASK_FROM_TO calcula nuevos valores IP e IP_TO basados en la máscara CIDR, pero a diferencia del caso de rango explícito, ninguna validación garantiza que el valor de IP resultante no se suba a map-> First_IP.
Esto crea una situación en la que los valores de CIDR elaborados pueden causar un bajo flujo de Integer, lo que lleva al acceso a la matriz fuera de los límites cuando el índice calculado se trunca de U32 a U16 durante las operaciones de mapa de bits.
La explotación de esta vulnerabilidad requiere acceso local, pero no hay privilegios especiales, lo que lo hace particularmente peligroso en entornos de usuarios múltiples o sistemas contenedores.
Los atacantes pueden aprovechar la interfaz NetFilter NetLink Socket para enviar comandos IPSet de forma maliciosa que active la ruta del código vulnerable.
Al construir cuidadosamente el mapa de bits: las operaciones de creación y adición del conjunto IP con valores específicos de CIDR, los atacantes pueden lograr escrituras controladas fuera de los límites más allá de la región de memoria de mapa de bits asignada.
La técnica de explotación implica la creación de múltiples mapas de bits: objetos IP para establecer un diseño de memoria predecible, luego utilizando la escritura fuera de los límites primitiva para sobrescribir las estructuras críticas de datos del núcleo.
Específicamente, los atacantes pueden modificar el puntero de los miembros de los objetos adyacentes bitmap_ip, transformando la escritura limitada primitiva en capacidades de escritura de memoria arbitraria.
La prueba de concepto demuestra sobrescribir el parámetro del núcleo Core_Pattern, que controla cómo se procesan los volcados de núcleo, lo que permite a los atacantes ejecutar comandos arbitrarios con privilegios raíz al activar una falla de segmentación.
El impacto de la vulnerabilidad se extiende más allá de la simple escalada de privilegios, ya que la explotación exitosa otorga a los atacantes el control completo sobre el sistema afectado.
Esto incluye la capacidad de instalar RootKits, modificar las configuraciones del sistema, acceder a datos confidenciales y potencialmente pivotar a otros sistemas en la red.
Las organizaciones que ejecutan las versiones de kernel afectadas deben priorizar la aplicación del parche disponible, que aborda el problema mediante la implementación de una validación de rango integral que verifica ambas IP < map->First_IP y IP_TO> MAP-> LAST_IP Condiciones independientemente de cómo se especifique el rango IP.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
