18 de outubro de 2024

Exploit lançado para CVE-2023-52447: Falha do kernel Linux que permite escape de contêiner

8 de outubro de 2024

A vulnerabilidade CVE-2023-52447 no kernel do Linux, que afeta versões entre v5.8 e v6.6, foi corrigida após a publicação de um PoC, com riscos significativos para sistemas que utilizam conteinerização.

Recentemente, pesquisadores publicaram uma análise técnica detalhada e uma prova de conceito (PoC) para a vulnerabilidade crítica no kernel do Linux, identificada como CVE-2023-52447. Com uma pontuação de 7,8 no CVSS, essa falha de uso após liberação (use-after-free) afeta as versões do kernel Linux de v5.8 até v6.6, representando um risco significativo, especialmente para sistemas que utilizam conteinerização para isolamento de segurança.

Natureza da Vulnerabilidade

A vulnerabilidade CVE-2023-52447 está localizada no subsistema BPF (Berkeley Packet Filter) do kernel do Linux, uma estrutura poderosa usada para executar programas personalizados dentro do próprio kernel. O BPF é amplamente utilizado em tarefas críticas, como filtragem de pacotes de rede, monitoramento de desempenho e aplicações de segurança. No entanto, a falha surge de um problema de contagem de referência inadequada ao gerenciar ponteiros arraymap em certos programas BPF, resultando em uma condição de uso após liberação (use-after-free).

Especificamente, a vulnerabilidade ocorre quando um programa BPF mantém um ponteiro arraymap de um array_of_maps sem aumentar corretamente sua contagem de referência. Isso cria uma condição perigosa: se um programa BPF realizar uma operação demorada, outro thread pode liberar o arraymap e reutilizar a memória, desencadeando uma condição de uso após liberação.

Exploração e Impacto

A exploração dessa vulnerabilidade depende da orquestração cuidadosa de uma condição de corrida entre dois threads. Um invasor poderia explorar essa falha em várias etapas:

  1. Modificar os parâmetros max_entries e index_mask do arraymap da vítima.
  2. Usar o arraymap da vítima para alterar o índice de valor 0 do array_of_maps como um core_pattern (offset struct_bpf_array).
  3. Atualizar o array_of_maps para modificar o core_pattern.
  4. Finalmente, realizar a fuga do contêiner, comprometendo o isolamento de segurança proporcionado pela conteinerização.

Esses passos destacam o potencial da vulnerabilidade para ser usada como um vetor de ataque poderoso, especialmente em ambientes que dependem de contenção, como servidores em nuvem e infraestruturas virtualizadas. A capacidade de quebrar o isolamento de contêineres pode permitir que invasores escapem dos limites de segurança de um contêiner e comprometam todo o sistema subjacente.

Disponibilidade do PoC e Riscos

Os pesquisadores que descobriram a vulnerabilidade publicaram um exploit de prova de conceito (PoC) no GitHub. Esse PoC é uma ferramenta valiosa para que as equipes de segurança possam estudar a falha e desenvolver estratégias de mitigação mais eficazes. No entanto, também traz riscos adicionais, pois fornece aos atores mal-intencionados acesso ao código de exploração, aumentando a probabilidade de ataques reais baseados nessa vulnerabilidade.

Dada a gravidade do problema e a disponibilidade pública do PoC, há uma urgência para que as organizações apliquem patches e atualizem seus sistemas, a fim de evitar que essa falha seja explorada por invasores.

Solução e Recomendações

Felizmente, a vulnerabilidade CVE-2023-52447 foi corrigida em um patch recente para o kernel Linux. A correção foi implementada por meio de um commit que resolve o problema de contagem de referência inadequada no subsistema BPF.

As organizações são fortemente recomendadas a:

  • Atualizar para as versões mais recentes do kernel Linux que contêm esse patch, especialmente se estiverem executando versões vulneráveis entre v5.8 e v6.6.
  • Monitorar seus sistemas para sinais de comprometimento, especialmente em ambientes com uso intensivo de contêineres.
  • Revisar as políticas de segurança que envolvem o uso de programas BPF e conteinerização, a fim de minimizar as superfícies de ataque.
  • Aplicar práticas de segurança de isolamento rigorosas, como limitar o acesso a programas BPF não confiáveis e monitorar atividades incomuns nos contêineres.

A correção rápida e a aplicação de patches são cruciais para garantir que essa vulnerabilidade não seja explorada de forma ampla, especialmente em sistemas de alta criticidade que dependem da conteinerização para manter a segurança e o isolamento.

Matérias Relacionadas

CVE-2024-8884 (CVSS 9.8): Vulnerabilidade crítica expõe PCs industriais da Schneider Electric a possíveis ataques

11 de outubro de 2024

Novo Carregador MisterioLNK Passa Despercebido por Ferramentas de Segurança, Avisa Cyble

11 de outubro de 2024
CVE-2024-9473: Vulnerabilidade Crítica de Escalonamento de Privilégios no Instalador MSI do GlobalProtect da Palo Alto Networks

CVE-2024-9473: Vulnerabilidade Crítica de Escalonamento de Privilégios no Instalador MSI do GlobalProtect da Palo Alto Networks

10 de outubro de 2024

Veja mais..

Pesquisadores Chineses Quebram Criptografia RSA com Computação Quântica

17 de outubro de 2024

Sistemas Linux vulneráveis ao bypass ‘noexec’ RCE é realidade

16 de outubro de 2024

CVE-2024-9486 (CVSS 9.8): Vulnerabilidade crítica no Kubernetes Image Builder expõe VMs a acesso root completo

16 de outubro de 2024

Falha crítica no framework de segurança Java ‘pac4j’ expõe vulnerabilidade RCE (CVE-2023-25581)

15 de outubro de 2024

UE adota Lei de Resiliência Cibernética para Dispositivos Conectados

14 de outubro de 2024