New Linux kernel NetFilter flaw gives attackers root privileges
2023/05/09 BleepingComputer — Linux カーネルの NetFilter コンポーネントで、新たな脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、権限のないローカル・ユーザーから root レベルまで権限を昇格させ、システムを完全にコントロールできるようになるという。この脆弱性 CVE-2023-32233 だが、現時点では深刻度レベルが決定されていない (訳者注記:NVD では CVSS 値 7.5) 。この脆弱性は、Netfilter nf_tables が設定に対する、無効な更新を受け入れることに起因しており、無効なバッチ要求がサブシステムの内部状態の破壊につながるという、特定のシナリオが可能になるという。
Netfilter は、Linuxカーネルに組み込まれたパケット・フィルタリングと NAT (network address translation) のフレームワークであり、IPtables や UFW などのフロントエンド・ユーティリティで管理されている。
昨日に発表された新しいアドバイザリによると、システムの内部状態を破損すると、カーネル・メモリ内での任意の Read/Write に悪用される、use-after-free 脆弱性につながるとのことだ。
Openwall メーリング・リストに投稿した、セキュリティ研究者たちが明らかにしたのは、脆弱性 CVE-2023-32233 の悪用を実証するための、PoC エクスプロイトが作成されという情報である。
研究者たちは、現在の安定バージョンである v6.3.1 を含む、複数の Linux カーネル・リリースに影響を与えると述べている。ただし、この脆弱性を悪用するためには、最初に Linux デバイスへのローカル・アクセスが必要になる。
この問題に対処するため、エンジニアである Pablo Neira Ayuso が Linux カーネルのソースコード・コミットを提出し、Netfilter nf_tables サブシステムの匿名セットのライフサイクルを管理する2つの関数が導入された。
この修正により、匿名セットの有効化と無効化を適切に管理し、不要な更新を止めることでメモリ破壊を防ぎ、脆弱性 use-after-free を悪用する攻撃者が、root レベルまで権限を昇格させるという状況が回避された。
近日公開予定の PoC エクスプロイト
この問題を発見し、Linux カーネル・チームに報告した、セキュリティ研究者である Patryk Sondej と Piotr Krysiuk は、影響を受けるシステム上で非特権ローカル・ユーザーが root シェルを起動する PoC を開発した。
研究者たちは、修正プログラムの開発を支援するために、Linux カーネル・チームと非公開でエクスプロイトを共有し、採用されたエクスプロイト技術の詳細な説明と、PoC のソースコードへのリンクを提供している。彼らの説明によると、この PoC エクスプロイトは、詳細な記述情報とともに、2023年5月15日 (月) に公開される予定とのことだ。
Openwall メーリング・リストへの投稿には、「linux-distros リストのポリシーによると、このアドバイザリから7日以内に、PoC エクスプロイトを公開する必要がある。このポリシーに従うため、5月15日 (月) に詳細な技術情報とソースコードを公開する予定だ」と記されている。
Linux サーバで root レベルの特権が得られるという、脅威アクターにとって貴重なツールであるため、攻撃に悪用する新たなセキュリティ情報を求めて、彼らも Openwall を監視するだろう。脆弱性 CVE-2023-32233 を悪用するリモート攻撃者は、まずターゲット・システムへのローカル・アクセスを確立することが必要になる。それを、念頭に置いてほしい。
Linux カーネルの NetFilter コンポーネントの脆弱性とのことですが、最近の類似する脆弱性としては、2022/12/25 の「Linux Kernel の致命的な欠陥:ksmbd を有効にした SMB サーバに影響」および、2022/12/03 の「Linux の新たなゼロデイ CVE-2022-3328:multipathd 脆弱性との併用で root 権限を取得」がありました。よろしければ、Linux で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.