L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté un bogue de sécurité critique dans Linux à sa liste de vulnérabilités connues pour être activement exploitées dans la nature. La CISA est une composante du ministère américain de la sécurité intérieure chargée de la cybersécurité et de la protection des infrastructures à tous les niveaux du gouvernement, de la coordination des programmes de cybersécurité avec les États américains et de l'amélioration des protections du gouvernement en matière de cybersécurité contre les pirates informatiques privés et ceux des États-nations.
La vulnérabilité, répertoriée sous le nom de CVE-2024-1086 et dont le degré de gravité est de 7,8 sur 10, permet à des personnes ayant déjà pris pied dans un système affecté d'élever leurs privilèges. Il s'agit d'une erreur de type « use-after-free », une catégorie de vulnérabilité qui se produit dans les logiciels écrits dans les langages C et C++ lorsqu'un processus continue d'accéder à un emplacement de mémoire après qu'il a été libéré ou désalloué. Les vulnérabilités de type « use-after-free » peuvent entraîner une escalade de code ou de privilèges à distance.
La vulnérabilité, qui affecte les versions 5.14 à 6.6 du noyau Linux, réside dans NF_tables, un composant du noyau permettant le Netfilter, qui à son tour facilite une variété d'opérations réseau, y compris le filtrage de paquets, la traduction d'adresse réseau [et de port] (NA[P]T), l'enregistrement de paquets, la mise en file d'attente de paquets dans l'espace utilisateur, et d'autres manipulations de paquets. Il a été corrigé en janvier, mais comme l'indique l'avis de la CISA, certains systèmes de production ne l'ont pas encore installé.
La CISA signale deux nouvelles vulnérabilités exploitées connues du noyau Linux
Identifié comme CVE-2024-1086 (score CVSS : 7.8), le problème de haute sévérité est lié à un bogue « use-after-free » dans le composant netfilter qui permet à un attaquant local d'élever les privilèges d'un utilisateur normal à root et éventuellement d'exécuter du code arbitraire. Netfilter est un cadre fourni par le noyau Linux qui permet la mise en œuvre de diverses opérations liées au réseau sous la forme de gestionnaires personnalisés pour faciliter le filtrage des paquets, la traduction des adresses réseau et la traduction des ports.
La vulnérabilité a été corrigée en janvier 2024. Cela dit, la nature exacte des attaques exploitant la faille est actuellement inconnue.
Le catalogue KEV s'est également enrichi d'une faille de sécurité récemment divulguée affectant les produits de sécurité de passerelle réseau de Check Point (CVE-2024-24919, CVSS score : 7.5) qui permet à un attaquant de lire des informations sensibles sur des passerelles connectées à Internet avec un accès à distance VPN ou un accès mobile activé.
Compte tenu de l'exploitation active de CVE-2024-1086 et CVE-2024-24919, il est recommandé d'appliquer les derniers correctifs avant le 20 juin 2024, afin de protéger les réseaux contre les menaces potentielles.
Voici les détails des vulnérabilités :
- CVE-2024-24919 Vulnérabilité de divulgation d'informations des passerelles de sécurité Quantum de Check Point
- CVE-2024-1086 Vulnérabilité de l'utilisation après coup du noyau Linux
Ces types de vulnérabilités sont des vecteurs d'attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l'entreprise fédérale.
Directive opérationnelle contraignante (BOD) 22-01 : Reducing the Significant Risk of Known Exploited Vulnerabilities a établi le catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities Catalog) en tant que liste évolutive des vulnérabilités et expositions communes (CVE) connues qui présentent un risque important pour l'entreprise fédérale. Le BOD 22-01 exige que les agences du Federal Civilian Executive Branch (FCEB) remédient aux vulnérabilités identifiées dans les délais impartis afin de protéger les réseaux du FCEB contre les menaces actives.
Bien que le BOD 22-01 ne s'applique qu'aux agences du FCEB, la CISA recommande vivement à toutes les organisations de réduire leur exposition aux cyberattaques en donnant la priorité à la remédiation des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités. La CISA continuera d'ajouter au catalogue les vulnérabilités qui répondent aux critères spécifiés.
Et vous ?
Quel est votre avis sur cette alerte de la CISA ?
Voir aussi :
Une nouvelle faille dans Glibc de Linux permet aux pirates d'accéder à la racine sur les principales distributions. La faille permet une escalade locale des privilèges et un accès root complet
Une nouvelle vulnérabilité d'élévation de privilèges est découverte dans le noyau Linux. Elle permet à un attaquant local d'exécuter un logiciel malveillant sur les systèmes vulnérables
Linux est victime de la vulnérabilité la plus grave depuis des années : Dirty Pipe permet à un attaquant d'installer des portes dérobées, de modifier des scripts, etc.