Une faille de sécurité dans le noyau Linux, qui permet à un attaquant d’élever ses privilèges sur la machine locale, a été récemment corrigée. Des chercheurs en sécurité ont désormais rendu public un programme de démonstration qui confirme que l’exploitation de cette vulnérabilité est possible pour obtenir un accès root.
Cette vulnérabilité, appelée DirtyDecrypt ou DirtyCBC, a également été découverte indépendamment par l’équipe de V12. Ces chercheurs l’ont signalée ce mois-ci, mais les mainteneurs du noyau leur ont indiqué qu’il s’agissait d’un doublon, la correction ayant déjà été intégrée dans la branche principale.
L’exploitation réussie exige que le noyau Linux soit compilé avec l’option CONFIG_RXGK. Cette option active le support de sécurité RxGK pour le client et le transport réseau du système de fichiers Andrew, AFS. Par conséquent, seules les distributions Linux qui suivent de très près les dernières versions du noyau en amont sont concernées, comme Fedora, Arch Linux et openSUSE Tumbleweed. Le programme de preuve de concept de V12 n’a été testé que sur Fedora et le noyau principal.
Test de l’exploit DirtyDecrypt sur Fedora (Will Dormann)
DirtyDecrypt appartient à la même catégorie de failles que plusieurs autres vulnérabilités d’élévation de privilèges root révélées ces dernières semaines, notamment Dirty Frag, Fragnesia et Copy Fail.
Les utilisateurs de distributions potentiellement affectées doivent installer les dernières mises à jour du noyau dès que possible. Pour ceux qui ne peuvent pas appliquer immédiatement un correctif, la même parade que pour la faille Dirty Frag peut être utilisée, même si elle désactivera également les VPN IPsec et les systèmes de fichiers réseau distribués AFS.
Ces révélations interviennent alors que des rapports indiquent que des attaquants exploitent activement la vulnérabilité Copy Fail dans la nature. L’agence américaine CISA a ajouté Copy Fail à sa liste des failles exploitées dans des attaques le 1er mai. Elle a ordonné aux agences fédérales de sécuriser leurs appareils Linux dans un délai de deux semaines.
En avril, les distributions Linux avaient déjà diffusé des correctifs pour une autre faille d’élévation de privilèges root dans le démon PackageKit, nommée Pack2TheRoot, qui était passée inaperçue pendant près de douze ans.