Les experts affirment que jusqu’à ce que les distributions publient des correctifs, les OSC doivent se méfier de l’élévation non autorisée des privilèges ; La fuite des conteneurs Kubernetes est également un risque.
Avec un accès root, un acteur malveillant peut tout faire sur un système, du vol de données à l’effacement des données.
« La vulnérabilité CopyFail est importante car elle est facile à exploiter et affecte la plupart, sinon la totalité, des systèmes Linux actuellement en production », a déclaré Ullrich dans un e-mail.
« D’un autre côté », a-t-il noté, « les vulnérabilités d’élévation de privilèges sont assez courantes, et un attaquant doit d’abord être capable d’exécuter du code sur le système pour les exploiter. Des faiblesses de configuration courantes peuvent également ouvrir la porte à une élévation de privilèges. »
Cette vulnérabilité doit néanmoins être corrigée, mais ne nécessite pas de priorisation spécifique. « Dès que les correctifs sont publiés, ils doivent être appliqués », a-t-il déclaré. « Un redémarrage peut être nécessaire pour protéger complètement les systèmes concernés après l’application du correctif. »
Jeudi midi, seul Arch Linux avait publié un correctif, a-t-il déclaré. Mais il pense que d’autres distributions en publieront probablement une dans les prochains jours.
« En attendant », a-t-il ajouté, « il existe une option permettant d’ajouter un paramètre spécifique au noyau, mais son application nécessite un redémarrage et n’est pas réalisable dans un environnement de grande taille, du moins pas avant la publication d’un correctif. »
Bug de logique du noyau
La vulnérabilité a été découverte par des chercheurs de Theori, basé en Corée du Sud, en partie avec l’aide de son scanner de vulnérabilité IA. Cela a été signalé à l’équipe de sécurité du noyau Linux le 23 mars. Le 1er avril, des correctifs ont été déployés sur le noyau principal, avec un CVE attribué le 22 avril. La divulgation au grand public n’a été faite que cette semaine lorsque Theori a publié un blog sur son travail.
Copy Fail est un bug logique dans le modèle cryptographique du noyau Linux. Il permet à un utilisateur local non privilégié de déclencher une écriture déterministe et contrôlée de 4 octets dans le cache de pages de n’importe quel fichier lisible sur le système ; L’exploit de Theori est un seul script Python de 732 octets. Le résultat : cet utilisateur non autorisé obtient un accès root.
La vulnérabilité permet également de s’échapper des conteneurs Kubernetes, a ajouté Theori, qu’elle a annoncé qu’elle expliquerait dans un prochain blog.
Theori a déclaré que les systèmes qui devraient être corrigés en premier lorsque les correctifs sont publiés sont des hôtes Linux multi-locataires ; systèmes avec conteneurs Kubernetes ; des exécuteurs d’intégration continue et des fermes de construction comprenant des actions GitHub, des exécuteurs GitLab ou des agents Jenkins ; et les systèmes SaaS cloud exécutant du code utilisateur, tels que des hôtes de notebook, des bacs à sable d’agent, des fonctions sans serveur ou tout conteneur ou script fourni par le locataire.
Nombre « énorme » de distributions concernées
Le nombre de distributions affectées est « énorme », a déclaré Kellman Meghu, directeur technique de la société canadienne de réponse aux incidents DeepCove Security, « et la vitesse (à laquelle) ce problème n’a pas été assez longue pour que le noyau soit corrigé, testé et distribué à chaque distribution » après la découverte de la faille le mois dernier.
« Vous ne pouvez pas faire grand-chose à part commencer votre inventaire des systèmes à risque et surveiller chaque mise à jour de distribution », a-t-il déclaré. « Appliquez immédiatement les correctifs du noyau (si possible) et essayez d’isoler ou de surveiller tous les systèmes Linux partagés jusqu’à ce qu’ils soient corrigés. Demandez à tous vos fournisseurs et chaînes d’approvisionnement tierces leurs plans et évaluations des risques pour vous assurer que vous interagissez prudemment avec d’autres systèmes qui pourraient être à risque. «
Pour Debian, Ubuntu et d’autres systèmes basés sur Debian, le code exploitable se trouve dans un module de noyau distinct qui peut être désactivé via les commandes du noyau, a ajouté Meghu. Cependant, de nombreuses autres distributions le compilent dans le noyau et peuvent ne pas être aussi facilement modifiés. Ceci est unique à chaque distribution, a-t-il déclaré, il est donc essentiel de disposer d’un inventaire et d’un plan pour chacune pour anticiper la vulnérabilité.
(Contenu associé : le malware VoidLink cible les serveurs cloud Linux)
Défaut de logique en ligne droite
Copy Fail n’est pas le premier bug d’élévation de privilèges très médiatisé, ont noté les chercheurs de Theori. Dirty Cow (CVE-2016-5195) nécessitait de remporter une condition de concurrence critique dans le chemin de copie sur écriture du sous-système VM. Il fallait souvent plusieurs tentatives pour réussir et faisait parfois planter le système. Dirty Pipe (CVE-2022-0847) était spécifique à la version et nécessitait une manipulation précise du tampon de canal. Mais les chercheurs ont déclaré que Copy Fail est une faille logique en ligne droite, qui se déclenche sans courses, sans tentatives ou sans fenêtres de synchronisation sujettes aux crashs.
L’exploit créé par Theori fonctionnait sur Ubuntu, Amazon Linux, RHEL et SUSE Linux.
Systèmes partagés soumis à un « risque extrême »
« L’exploit est trivial », a déclaré Meghu de DeepCove Security. « La bonne nouvelle est qu’il ne s’agit pas d’une exécution de code à distance, ce qui nous donne une marge de manœuvre pour appliquer des correctifs lorsque des correctifs sont disponibles, mais la priorité doit être accordée à tous les systèmes partagés, car n’importe quel utilisateur local pourrait facilement élever son privilège au niveau root. Ces systèmes sont actuellement soumis à un risque extrême. «
« Je suis également très inquiet de la quantité infinie de périphériques matériels basés sur Linux qui ne sont probablement pas souvent corrigés, voire pas du tout, et qui feront partie de l’IoT ou des systèmes grand public dans les années à venir », a ajouté Mehgu. « Si votre activité consiste à prendre en charge des périphériques matériels basés sur Linux, ce ne sera pas une bonne journée pour vous. »
« Cette (vulnérabilité) rend incroyablement facile de vivre des attaques terrestres », a-t-il conclu, « il n’a donc jamais été aussi critique de surveiller vos systèmes pour détecter toute activité inhabituelle. »
