C’è una nuova e critica vulnerabilità nel kernel Linux che riguarda iptables ed è al momento attivamente sfruttata, parola di CISA
La U.S. Cybersecurity & Infrastructure Security Agency, altrimenti conosciuta come CISA, ossia l’agenzia americana che si preoccupa di scoprire e monitorare vulnerabilità informatiche, ha recentemente aggiunto nel proprio catalogo che si chiama KEV (e sta per Known Exploited Vulnerabilities) una nuova falla che affligge il kernel Linux e che riguarda iptables, ossia il firewall nativo del Pinguino.
La CVE-2024-1086 descritta nell’articolo di Bleeping Computer pare che risalga addirittura al lontano 2014, anno in cui la modifica che ha portato il problema è stata inserita nel codice del kernel Linux, e consentirebbe ad un attaccante che abbia accesso locale alla macchina di effettuare una privilege escalation fino a raggiungere permessi di root.
La pubblicazione della CVE è coincisa con la patch portata nel kernel Linux a gennaio di quest’anno e, come indica l’articolo, è stata backportata sulle versioni stabili attualmente sul mercato, nello specifico:
- v5.4.269 e successive
- v5.10.210 e successive
- v6.6.15 e successive
- v4.19.307 e successive
- v6.1.76 e successive
- v5.15.149 e successive
- v6.7.3 e successive
Il problema è che attualmente questa vulnerabilità è segnalata come attivamente sfruttata sulla rete, tanto che esiste un proof-of-concept (PoC) su GitHub, all’interno del quale viene spiegato come non sia poi così complicato sfruttare l’anomalia, con tanto di video:
Il motivo per cui appare ancora molto diffusa nonostante l’esistenza delle patch riguarda ad esempio il fatto che dalla scoperta del problema alla produzione della patch sono passati mesi. Red Hat, tanto per citare la principale azienda open-source, ha pubblicato la fix solo a marzo, lasciando potenzialmente campo libero a quanti a conoscenza del problema di sfruttare a dovere il bug.
L’articolo consiglia anche come fare a limitare il problema nel caso una patch non sia disponibile, sono 3 passi:
- Bloccare il modulo incriminato
nf_tables
(se chiaramente questo non è attivamente utilizzato). - Restringere l’accesso agli user namespace per limitare la superficie d’attacco.
- Caricare LKRG, ossia la Linux Kernel Runtime Guard, che però può portare instabilità al sistema.
Insomma, se non si fosse capito, l’applicazione della patch (ora che è disponibile) è più che suggerita.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.