Fragnesia Linux kernel sérülékenység
A Wiz kutatói egy új, Fragnesia Linux kernel sérülékenységet ismertetnek, amely helyi jogosultságkiterjesztést tesz lehetővé root szintig. A hiba a Linux kernel XFRM ESP-in-TCP alrendszerében található, amelyet az IPsec-alapú titkosított hálózati kommunikáció használ. A sérülékenység különösen veszélyes, mert egy alacsony jogosultságú helyi felhasználó race condition nélkül, stabil módon képes root hozzáférést szerezni.
A Fragnesia a korábban publikált Dirty Frag és Copy Fail sérülékenységekhez hasonló page cache corruption technikát alkalmaz. A kernel hibásan kezeli bizonyos memóriafragmentumok állapotát az ESP-in-TCP adatfolyamok feldolgozásakor, így a támadó tetszőleges byte-okat írhat a kernel page cache-ben tárolt, normál esetben csak olvasható fájlokba. A publikus proof-of-concept exploit a /usr/bin/su bináris memóriabeli módosításával nyit root shellt anélkül, hogy a lemezen lévő eredeti fájl megváltozna. Ez a forenzikai elemzést és a klasszikus integritás-ellenőrzést is megnehezíti.
A kutatók szerint a sérülékenység szinte minden modern Linux disztribúciót érinthet, közte az Ubuntu, Debian, Red Hat, SUSE és Amazon Linux rendszereket is. A veszélyt növeli, hogy publikus exploitkód már elérhető GitHubon, és a támadás nem igényel speciális időzítést vagy instabil memória-versenyhelyzetet, így jóval megbízhatóbb, mint sok korábbi Linux LPE exploit.
Mitigációként a szakértők az esp4, esp6 és kapcsolódó XFRM modulok letiltását javasolják, bár ez IPsec VPN-funkciók kiesését okozhatja. A Linux disztribúciók már kiadták vagy előkészítik a kerneljavításokat, ezért a sürgős patch-telepítés javasolt.
