Nieuw Linux kernel lek geeft aanvallers root privileges

De Linux-wereld is nog maar net bekomen van het beveiligingsfiasco rond een backdoor gebaseerd op de XZ compressietools voordat er een nieuw beveiligingslek opdook, dit keer in de Linux kernel: Het nieuw ontdekte beveiligingslek kan derden in staat stellen om een zogenaamde Local Privilege Escalation (LPE) uit te voeren, waardoor een aanvaller rootprivileges kan krijgen en het hele systeem kan overnemen. De kwetsbaarheid is gecategoriseerd als CVE-2023-6546 in Red Hat's bug tracker en heeft een hoge prioriteit en ernstgraad.

Volgens Heise Securitycirculeren er al enkele dagen verwijzingen naar deze nieuwe kwetsbaarheid in de Linux-kernel, maar deze werd blijkbaar voor het eerst gemeld op 21 maart in de blog https://www.jmpeax.dev/The-tale-of-a-GSM-Kernel-LPE.html van een Linux-gebruiker die geïnteresseerd is in cyberbeveiliging. In antwoord op een vraag van Heise Security op de "oss-security" mailinglijst, werd de kwetsbaarheid op donderdagavond gemeld: Het is waarschijnlijk een ongepatchte kwetsbaarheid die alle kernelversies treft, een zogenaamde zero-day kwetsbaarheid.

Linux-systemen met ingeschakeld GSM-subsysteem en Xen-virtualisatie kunnen het doelwit zijn

Het lijkt er echter op dat aanvallers alleen toegang tot het Linux-systeem kunnen krijgen als het GSM-subsysteem en Xen-virtualisatie worden gebruikt. Volgens Heise Security bestaan er al exploits voor verschillende Linux-distributies. De kwetsbaarheid kon worden uitgebuit op virtuele machines met een standaardinstallatie van Debian 12 en Ubuntu 23.10. Ubuntu 22.04 met de HWE kernel en Fedora Linux zijn echter ook getroffen, volgens berichten van lezers.

Er is een patch voor de kwetsbaarheid, maar deze is mogelijk niet effectief. Beveiligingsonderzoeker Kyle Zeng schrijft op Openwall (via Linux News) dat er twee kwetsbaarheden zijn, d.w.z. dat één van de twee kwetsbaarheden nog niet is gedicht. Hoe de situatie rond de nieuw ontdekte Linux kernel kwetsbaarheid zich zal ontwikkelen valt nog te bezien.