Vulnerabilidad Alta Descubierta en eBPF del Kernel de Linux: CVE-2023-39191

TEAM CSIRT

Recientemente se ha identificado una vulnerabilidad de alto riesgo en el subsistema eBPF del kernel de Linux, con el identificador CVE-2023-39191. Esta brecha en la seguridad podría permitir a un atacante escalar privilegios y ejecutar código malicioso en el núcleo del sistema operativo. La puntuación CVSS asociada a esta vulnerabilidad es de 8,2.

Esta vulnerabilidad radica en una deficiencia de validación de entrada en el subsistema eBPF, específicamente relacionada con la insuficiente verificación de punteros dinámicos dentro de los programas eBPF suministrados por el usuario. En términos más sencillos, un atacante con privilegios CAP_BPF (capacidad de cargar y modificar programas Berkeley Packet Filter en el kernel.) podría potencialmente aprovechar esta falla para elevar sus privilegios, lo que le permitiría ejecutar código de manera arbitraria en el contexto del kernel.

Productos Afectados:

La vulnerabilidad afecta a diversas versiones y productos que hacen uso del subsistema eBPF del kernel de Linux. Algunos de los productos y versiones impactadas incluyen:

  • Kernel de Linux 5.15 y versiones anteriores.
  • Docker 20.10.13 y versiones anteriores.
  • Kubernetes 1.25.5 y versiones anteriores.
  • OpenStack 21.08 y versiones anteriores.
  • Red Hat Enterprise Linux 8.6 y versiones anteriores.
  • SUSE Linux Enterprise Server 15 SP3 y versiones anteriores.
  • Ubuntu 22.04 LTS y versiones anteriores.

Solución:

La vulnerabilidad se corrige en las siguientes versiones en:

  • Kernel de Linux 5.16.
  • Docker 20.10.14.
  • Kubernetes 1.25.6.
  • OpenStack 21.09.
  • Red Hat Enterprise Linux 8.7.
  • SUSE Linux Enterprise Server 15 SP4.
  • Ubuntu 22.05 LTS.

Recomendacion:

  • Además de las distribuciones y productos mencionados anteriormente, es importante tener en cuenta que esta vulnerabilidad también podría afectar a otros productos y servicios que utilizan el subsistema eBPF del kernel de Linux. Se insta a los usuarios a verificar con sus proveedores si sus productos o servicios están en riesgo y tomar las medidas necesarias.
  • Se recomienda encarecidamente aplicar las actualizaciones de seguridad proporcionadas por los proveedores de los productos afectados para garantizar la protección contra esta vulnerabilidad crítica.

Referencias:

https://www.suse.com/security/cve/CVE-2023-39191.html

https://nvd.nist.gov/vuln/detail/CVE-2023-39191