Se han publicado recientemente 2 vulnerabilidades de criticidad crítica y alta que afectarían al Kernel de linux y a la librería XZ Utils.
Respecto a la primera, CVE-2024-1086, de ellas se ha publicado una prueba de concepto (POC) y respecto a la segunda, CVE-2024-3094, solo afecta a versiones de preproducción de algunas distribuciones de linux
Análisis
CVE-2024-3094 (CVSS 10 Crítica) : Andres Freund, ingeniero de software de Microsoft, ha descubierto una vulnerabilidad crítica en XZ Utils, una librería de compresión de datos ampliamente utilizada en varias distribuciones de Linux. En las versiones 5.6.0 y 5.6.1 se introdujo código malicioso. XZ Utils que incluye la librería liblzma utilizado por varios software, incluyendo sshd que es una de las técnicas conocidas para abusar del backdoor instalado.
La detección temprana ha evitado la inclusión de esta backdoor en versiones de producción.
Recursos afectados
– XZ Utils, versiones 5.6.0 y 5.6.1.
– Paquetes XZ de ArchLinux, versiones anteriores a 5.6.1-2 (concretamente 5.6.0-1 y 5.6.1-1).
– Fedora Linux 40, se recomienda utilizar la versión 5.4.
– Kali Linux, entre 26 y 29 de marzo.
– OpenSUSE Tumbleweed y openSUSE MicroOS, entre 7 y 28 de marzo.
– Versiones experimentales e inestables de Debian, desde 5.5.1alpha-0.1 hasta 5.6.1-1.
– Paquetes de XZ Utils 5.6.x creados en Debian inestable. Se recomienda a los usuarios de otras distribuciones consultar con sus distribuidores.
CVE-2024-1086 (CVSS 7.8 Alta): Una vulnerabilidad use-after-free en el componente netfilter: nf_tables del kernel de Linux puede ser explotada para conseguir una escalada local de privilegios. La función nft_verdict_init() permite valores positivos como código de error devuelto dentro del veredicto del hook, y por lo tanto la función nf_hook_slow() puede causar una vulnerabilidad de doble free cuando se emite NF_DROP con un código de error que se parece a NF_ACCEPT.
Recursos afectados
Versiones de Kernel Linux v3.15 a v6.8rc1
Recomendaciones
Para la CVE-2024-3094, se recomienda cambiar la versión de XZ Utils a una versión en producción no afectada, como por ejemplo 5.4.6, y después reiniciar el equipo o el servidor OpenSSH para eliminar el código de la memoria.
Para CVE-2024-1086, se recomienda actualizar a la versión más reciente de Kernel no afectadas por la vulnerabilidad como 6.1.76, 6.6.15 y 6.7.3.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2024-1086
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://github.com/Notselwyn/CVE-2024-1086
https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html