Linux: root-Lücke wird aktiv missbraucht
Die IT-Sicherheitsbehörde CISA warnt vor aktiven Angriffen auf eine Linux-Lücke. Angreifer verschaffen sich damit root-Rechte.
Eine Sicherheitslücke in Linux gefährdet Systeme.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Eine Sicherheitslücke im Linux-Kernel wird aktiv angegriffen, warnt die US-amerikanische Cybersicherheitsbehörde CISA. Bösartige Akteure verschafften sich dadurch root-Rechte auf verwundbaren Systemen.
Es handelt sich laut der CISA-Warnung um eine Use-after-free-Lücke im Linux-Kernel. Konkret findet sich der sicherheitsrelevante Fehler in der nf_tables-Komponente von Netfilter. Die konkrete Erläuterung ist eher etwas für im Kernel-Code Bewanderte: Die Funktion nft_verdict_init() lasse positive Werte als "Drop"-Fehler zu, weshalb die Funktion nf_hook_slow() ein doppeltes Freigeben von Ressourcen auslösen kann. Das ist dann der Fall, wenn ein NF_DROP (für ein Paket) auftrete mit einem "Drop"-Fehler, der NF_ACCEPT ähnele – also einen positiven anstatt eines erwarteten negativen Werts übergibt (CVE-2024-1086).
Linux-Lücke seit Januar bekannnt
Auf der OSS-Security-Mailingliste findet sich eine Zusammenfassung, die den Ursprung der Lücke auf das Jahr 2014 datiert. Einen Patch zum Schließen der Lücke hat Linus Torvalds im Januar dieses Jahres in die Quellen übernommen. Im März hat der User Notselwyn einen Proof-of-Concept-Exploit veröffentlicht, der mit recht hoher Verlässlichkeit das Ausnutzen der Lücke zum Verschaffen von root-Rechten demonstriert.
Der Exploit funktioniert laut Notselwyn auf nicht gepatchten Kernels 5.14 bis 6.6, verwundbar seien jedoch Kernel 3.15 bis 6.8-rc1. Da Ubuntu und Debian standardmäßig aktivierte User-Namespaces, unprivilegierte User-Namespaces sowie aktivierte nf_tables einsetzten, seien diese mit altem Kernel anfällig. Gepatchte Kernel seien seit Februar verfügbar, etwa für Debian (außer Buster), Fedora, Red Hat, SUSE oder Ubuntu. Linux-Admins sollten daher sicherstellen, dass sie die Kernel auf ihren Systemen auf aktuellem Stand halten, um nicht Opfer der jetzt in freier Wildbahn beobachteten Angriffe zu werden.
Lesen Sie auch
Linux-Kernel: Neuer Exploit verschafft Root-Rechte
Im April wurde ein Exploit für eine weitere root-Lücke im GSM-Subsystem des Linux-Kernels veröffentlicht. Zum Meldungszeitpunkt war die noch ungepatcht. Inzwischen hat Greg Kroah-Hartman aber erläutert, dass Korrekturen in die Stable- und Long-Term-Kernel eingezogen sind.
Natürlich liefert auch SUSE aktualisierte, fehlerbereinigte Kernel aus. Das haben wir mitsamt Verlinkung im Text ergänzt.
(dmk)