أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرتين أمنيتين إلى كتالوج الثغرات الأمنية المعروفة (KEV)، بما في ذلك خلل في رفع امتيازات Linux kernel.
تم الكشف عن الخلل عالي الخطورة الذي تم تتبعه باسم CVE-2024-1086 لأول مرة في 31 يناير 2024، كمشكلة بعد الاستخدام المجاني في مكون netfilter: nf_tables، ولكن تم تقديمه لأول مرة عن طريق الالتزام في فبراير 2014.
Netfilter هو إطار عمل توفره نواة Linux ويسمح بالعديد من العمليات المتعلقة بالشبكات، مثل تصفية الحزم وترجمة عنوان الشبكة (NAT) وتشويه الحزم.
تحدث الثغرة الأمنية لأن وظيفة ‘nft_verdict_init()’ تسمح باستخدام القيم الموجبة كخطأ إسقاط ضمن حكم الربط، مما يتسبب في تنفيذ وظيفة ‘nf_hook_slow()’ عملية مزدوجة مجانية عندما يتم إصدار NF_DROP مع خطأ إسقاط يشبه NF_ACCEPT.
يتيح استغلال CVE-2024-1086 للمهاجم الذي يتمتع بإمكانية الوصول المحلي تحقيق تصعيد الامتيازات على النظام المستهدف، ومن المحتمل أن يحصل على وصول على مستوى الجذر.
تم إصلاح المشكلة من خلال التزام تم تقديمه في يناير 2024، والذي يرفض معلمات حكم QUEUE/DROP، وبالتالي منع الاستغلال.
تم نقل الإصلاح إلى عدة إصدارات kernel مستقرة كما هو موضح أدناه:
v5.4.269 والإصدارات الأحدث v5.10.210 والإصدارات الأحدث v6.6.15 والإصدارات الأحدث v4.19.307 والإصدارات الأحدث v6.1.76 والإصدارات الأحدث v5.15.149 والإصدارات الأحدث v6.7.3 والإصدارات الأحدث
في أواخر مارس 2024، نشر باحث أمني يستخدم الاسم المستعار “Notselwyn” مقالة مفصلة وإثبات المفهوم (PoC) على GitHub، يعرض كيفية تحقيق تصعيد الامتيازات المحلية من خلال استغلال الخلل في إصدارات Linux kernel بين 5.14 و6.6.
في حين أن معظم توزيعات Linux قامت بطرح الإصلاحات بسرعة إلى حد ما، لم تقم Red Hat بطرح الإصلاح حتى شهر مارس، مما يجعل من الممكن أن تستخدم الجهات الفاعلة في التهديد الاستغلال العام على الأنظمة المخترقة.
لم تشارك CISA تفاصيل محددة حول كيفية استغلال الثغرة الأمنية، لكن BleepingComputer شاهدت منشورات على منتديات القرصنة حول عمليات الاستغلال العامة.
ومنحت وكالة الأمن السيبراني الآن الوكالات الفيدرالية مهلة حتى 20 يونيو 2024 لتطبيق التصحيحات المتاحة.
إذا لم يكن التحديث ممكنًا، فيوصى المسؤولون بتطبيق عوامل التخفيف التالية:
قائمة الحظر “nf_tables” إذا لم تكن هناك حاجة إليها/مستخدمة بشكل نشط. تقييد الوصول إلى مساحات أسماء المستخدمين للحد من سطح الهجوم. قم بتحميل وحدة Linux Kernel Runtime Guard (LKRG) (يمكن أن تسبب عدم الاستقرار)
العيب الثاني الذي أضافته CISA إلى كتالوج KEV هذه المرة، والذي حدد أيضًا تاريخ الاستحقاق في 20 يونيو، هو CVE-2024-24919، وهي ثغرة أمنية في الكشف عن المعلومات تؤثر على أجهزة VPN من Check Point.
بعد الكشف عن البائع وإصدار التحديث الأمني لهذا الخلل، نشر باحثون من Watchtowr Labs تحليلهم، مؤكدين أن الثغرة الأمنية أسوأ بكثير مما عكسته نشرة Check Point.
