PoC publicado para falla de elevación de privilegios del kernel de Linux

Un investigador de seguridad ha publicado un código de explotación de prueba de concepto (PoC) dirigido a una vulnerabilidad de severidad ALTA, identificada como CVE-2024-0193, dentro del kernel de Linux. El aviso de seguridad de Red Hat, publicado el 2 de enero de 2024, proporciona algunos detalles técnicos de la amenaza.

CVE-2024-0193 (CVSS 7.8): es una falla de tipo «use-after-free» que afecta el subsistema netfilter del kernel de Linux. Este problema se encuentra específicamente en el elemento catchall del conjunto pipapo. Si este elemento es recolectado por el sistema de gestión de basura mientras se elimina el conjunto pipapo, puede ser desactivado dos veces, lo que provoca un uso después de liberación. Esto puede afectar objetos NFT_CHAIN o NFT_OBJECT, permitiendo a un atacante con capacidad CAP_NET_ADMIN escalar sus privilegios en el sistema.

El problema radica en que el contador de referencias del elemento catchall puede disminuirse y verificarse con la función refcount_dec_and_test(). Si el contador llega a cero, el elemento es destruido con nft_elem_destroy(), resultando en una desactivación doble y el subsecuente uso después de la liberación.

Productos y versiones afectadas:

  • Kernel de Linux versión 5.10.0 a 5.15.71 y 5.16.0 a 5.16.18.

Solución:

  • Aplique lo antes posible las últimas actualizaciones del kernel de Linux para corregir esta y otras vulnerabilidades que puedan comprometer la seguridad.

Recomendaciones:

  • Implemente monitoreo continuo y auditorías de seguridad para detectar y responder rápidamente a intentos de explotación.
  • Capacite a los administradores y usuarios sobre las mejores prácticas de seguridad para minimizar el riesgo de ataques.

Referencias: