S’han publicat recentment 2 vulnerabilitats de criticitat crítica i alta que afectarien el Kernel de Linux i la biblioteca XZ Utils.
Respecte de la primera, CVE-2024-1086, se n’ha publicat una prova de concepte (POC), i respecte de la segona, CVE-2024-3094, només afecta versions de preproducció d’algunes distribucions de Linux.
Anàlisi
CVE-2024-3094 (CVSS 10 Crítica): Andres Freund, enginyer de programari de Microsoft, ha descobert una vulnerabilitat crítica en XZ Utils, una biblioteca de compressió de dades àmpliament utilitzada en diverses distribucions de Linux. En les versions 5.6.0 i 5.6.1 es va introduir codi maliciós. XZ Utils que inclou la biblioteca liblzma utilitzada per diversos programaris, incloent-hi sshd, que és una de les tècniques conegudes per a abusar de la porta del darrere (backdoor) instal·lada.
La detecció precoç ha evitat la inclusió d’esta porta del darrere en versions de producció.
Recursos afectats
– XZ Utils, versions 5.6.0 i 5.6.1.
– Paquets XZ d’ArchLinux, versions anteriors a 5.6.1-2 (concretament, 5.6.0-1 i 5.6.1-1).
– FedoraLinux 40, es recomana utilitzar la versió 5.4.
– Kali Linux, entre 26 i 29 de març.
– OpenSUSE Tumbleweed i openSUSE MicroOS, entre el 7 i el 28 de març.
– Versions experimentals i inestables de Debian, des de 5.5. 1alpha-0.1 fins a 5.6.1-1.
– Paquets d’XZ Utils 5.6.x creats en Debian inestable. Es recomana als usuaris d’altres distribucions que ho consulten amb els seus distribuïdors.
CVE-2024-1086 (CVSS 7.8 Alta): Una vulnerabilitat use-after-free en el component netfilter: nf_ tables del nucli (kernel) de Linux pot ser explotada per a aconseguir una escalada local de privilegis. La funció nft_ verdict_ init() permet valors positius com a codi d’error retornat dins del veredicte del hook, i per tant la funció nf_ hook_ slow() pot causar una vulnerabilitat de doble free quan s’emet NF_ DROP amb un codi d’error que s’assembla a NF_ ACCEPT.
Recursos afectats
Versions de Kernel Linux v3.15 a v6. 8rc1
Recomanacions
Per a la CVE-2024-3094, es recomana canviar la versió d’XZ Utils per una versió en producció no afectada, com per exemple 5.4.6, i després reiniciar l’equip o el servidor OpenSSH per a eliminar el codi de la memòria.
Per a CVE-2024-1086, es recomana actualitzar a la versió més recent de Kernel no afectada per la vulnerabilitat com 6.1.76, 6.6.15 i 6.7.3.
Referències
https://nvd.nist.gov/vuln/detail/CVE-2024-1086
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
https://github.com/Notselwyn/CVE-2024-1086
https://thehackernews.com/2024/03/urgent-secret-backdoor-found-in-xz.html