Estàs sent atacat?

Vulnerabilitat Linux CVE-2021-22005

Vulnerabilitat

  • Referència: CVE-2021-43267
  • Canal oficial: https://security-tracker.debian.org/tracker/CVE-2021-43267
  • Data de detecció: 02/11/2021

Afectació

  • Criticitat: Alta
  • Linux: bullseye 5.10.70-1 vulnerable
  • Linux: bullseye (security) 5.10.46-5 vulnerable
  • Linux: bookworm 5.14.9-2 vulnerable

La vulnerabilitat CVE-2021-43267, es troba al mòdul de comunicació transparent entre processos (TIPC) del nucli de Linux, concretament al fitxer ‘net/tipc/crypto.c’ .

El protocol TIPC està dissenyat especialment per a la comunicació intraclúster en entorns Linux. Des del setembre del 2020, el protocol TIPC admet un nou tipus de missatge d’usuari anomenat MSG_CRYPTO, que permet als parells enviar claus criptogràfiques amb què xifrar i desxifrar les comunicacions.

Un investigador de seguretat de SentinelOne ha descobert que, si bé la mida de la capçalera i la mida del missatge es validen contra la mida real del paquet, hi ha una manca de comprovació per al camp keylen del missatge MSG_CRYPTO. En conseqüència, en assignar un espai de memòria d’acord amb la mida del missatge i utilitzar una mida arbitrària al camp «keylen», es podria causar un desbordament de la memòria i l’escriptura fora dels límits assignats.

Exemple de missatge MSG_CRYPTO que desencadena la vulnerabilitat. Font sentinelone.com

Cal destacar que TIPC no es carrega automàticament sinó que ha de ser configurat pels usuaris finals. Tot i això, el fet que pugui ser configurat localment sense privilegis juntament amb la possibilitat d’explotació remota la fa una vulnerabilitat realment perillosa. I és que l’explotació exitosa d’aquesta vulnerabilitat permetria executar codi arbitrari dins del nucli, provocant un compromís total del sistema afectat.

SentinelLabs va reportar el problema de seguretat a l’equip de Kernel.org el passat 19 d’octubre de 2021, i la solució va ser inclòsa a la versió 5.15 del kernel el 31 d’octubre.

La vulnerabilitat afecta les versions del nucli de Linux compreses entre la 5.10 i la 5.14.16.

Solució!

Actualitzar els sistemes Linux per a que tinguin aquesta versió de Kernel.

Si teniu dubtes o necessiteu assessorament de com realitzar aquesta actuació…

Contacta amb nosaltres!

Més informació:
CVE-2021-43267: Remote Linux Kernel Heap Overflow | TIPC Module Allows Arbitrary Code Execution
https://www.sentinelone.com/labs/tipc-remote-linux-kernel-heap-overflow-allows-arbitrary-code-execution/