Vulnerabilidade Crítica no Kernel Linux (CVE-2024-36972) Permite Escalada de Privilégio e Escape de Contêiner

Pesquisadores de segurança revelaram detalhes técnicos e um exploit de prova de conceito (PoC) para uma vulnerabilidade de alta severidade (CVE-2024-36972, CVSS 7.5) no componente af_unix do kernel Linux. Essa vulnerabilidade de dupla liberação expõe os sistemas a riscos como falhas no kernel, escalada de privilégios e escape de contêineres.

O componente af_unix facilita a comunicação entre processos dentro da mesma máquina por meio de sockets de domínio Unix. Essa funcionalidade essencial é amplamente utilizada em diversas aplicações e serviços. No entanto, a vulnerabilidade descoberta expõe uma falha crítica que pode ser explorada por agentes mal-intencionados.

A vulnerabilidade está localizada na função unix_gc(), responsável pela coleta de lixo de sockets em trânsito. Sob condições específicas, se um socket tiver mensagens MSG_OOB armazenadas em unix_sk(sk)->oob_skb, o processo de coleta de lixo pode descartar a referência sem bloqueio. Isso cria uma condição de corrida quando o socket peer envia novas mensagens MSG_OOB e chama queue_oob(), resultando em uma atualização de unix_sk(sk)->oob_skb. Essa operação concorrente pode levar a uma corrupção de memória do tipo dupla liberação.

O exploit PoC demonstra os seguintes passos para explorar a vulnerabilidade:

1. Extensão da Janela de Corrida: Utiliza timerfd para prolongar a janela de condição de corrida.
2. Manipulação de Referência: Cria uma referência circular para forçar unix_gc a liberar um socket vítima.
3. Execução Concorrente: Aciona uma condição de corrida entre unix_gc e queue_oob.
4. Recuperação de Memória: Recupera o SKB liberado usando msg_msg para obter controle sobre seu destrutor.
5. Controle sobre RIP do Kernel: Usa kfree_skb para manipular o fluxo de controle do kernel e obter escape de contêiner.

A vulnerabilidade afeta as seguintes versões do kernel Linux:

• v6.8 a v6.9
• v5.15.147
• v6.1.78
• v6.6.17

O problema foi introduzido pelo commit 1279f9d9d e corrigido no commit 9841991a4. Administradores de sistemas devem atualizar imediatamente para versões corrigidas.

A disponibilidade de um exploit PoC para a CVE-2024-36972 no GitHub aumenta a urgência para ação imediata. Agentes de ameaça podem armar o exploit para atacar sistemas vulneráveis globalmente.

Postagens Relacionadas:

• Pacotes maliciosos npm exploram typosquatting para injetar backdoors SSH.
• Pacotes maliciosos npm ameaçam desenvolvedores de criptomoedas: keylogging e roubo de carteiras.
• Desenvolvedores do Roblox visados em ataque à cadeia de suprimentos com pacotes npm maliciosos.