Andrea Danti - Fotolia
Dirty Cow : une grave vulnérabilité Linux redécouverte
Présente dans le noyau Linux depuis plus d’une décennie, celle-ci permet d’obtenir les privilèges les plus élevés sur presque n’importe quel système fonctionnant sous Linux.
C’est une très vieille vulnérabilité qui vient d’être redécouverte, traînant dans le code du noyau Linux depuis plus d’une décennie. Linus Torvalds le reconnaît d’ailleurs lui-même : « c’est un ancien bogue que j’ai moi-même (mal) tenté de corriger il y a onze ans ». En vain, donc, puisque la vulnérabilité est réapparue avec la version 2.6.22 du noyau Linux lancée en 2007.
Référencée CVE-2016-5195 et baptisée Dirty Cow, cette vulnérabilité permet à un attaquant de gagner les privilèges de niveau root sur le système affecté, en obtenant l’accès en écriture à des zones de mémoire normalement accessibles en lecture seule.
Selon Phil Oester, le chercheur qui a redécouvert la vulnérabilité, un exploit s’avère « trivial à exécuter ». Qui plus est, d’après le site communautaire dédié à Dirty Cow, « l’exploitation de ce bug ne laisse aucune trace d’événement anormal dans les journaux d’activité ». En outre, « compte tenu de la complexité de l’attaque, il n’est pas possible de faire facilement la différence entre usage légitime et attaque. Mais l’attaque peut être détectée en comparant la taille du binaire [modifié à des fins malicieuses] et l’original ».
Des exemples de code d’exploitation de la vulnérabilité semblent être disponibles. Mais ingénieur qualité sénior chez Red Hat indique celui dont l’éditeur a été informé ne fonctionne pas avec RHEL 5 et 6. Il fonctionnerait toutefois avec RHEL7. Un second code d’exploitation semble toutefois avec RHEL 5 et 6. Au final, ces trois systèmes d’exploitation s’avèrent concernés.
Plusieurs versions de Suse sont également affectées, ainsi que d’Ubuntu, ou encore Debian entre autres.
Liviu Arsene, chercheur chez Bitdefender, souligne qu’il est peu probable qu’une victime sache si ses systèmes ont été compromis ou non par cette vulnérabilité : « avec une fenêtre estimée de 5 secondes entre déploiement et compromission, il est raisonnable d’estimer que, avec des conditions favorables, cette attaque pourrait permettre à un attaquant d’obtenir un accès relativement instantané à se victime ».
Avec nos confrères de SearchSecurity.com.