- Tổng quan và phân tích
Qua hoạt động theo dõi giám sát diễn biến an toàn thông tin trên không gian mạng, Team CyberSec CMC Telecom ghi nhận lỗ hổng CVE-2024-26808 có mức độ nghiêm trọng trong thành phần Netfilter của Linux kernel, ảnh hưởng đến các phiên bản linux kernel như sau: 5.10.209, 5.15.148, 6.1.0 – 6.1.75, 6.6.0 – 6.6.14, 6.7.0 – 6.7.2.
Netfilter được sử dụng để lọc gói, NAT (chuyển dịch địa chỉ IP) và kiểm soát lưu lượng mạng khác, tồn tại điểm yếu có thể bị khai thác để Nâng cao đặc quyền cục bộ (LPE). Lỗ hổng này có thể cho phép kẻ tấn công cục bộ không có đặc quyền thực thi mã tùy ý với quyền root, cài đặt các phần mềm độc hại và chiếm quyền điều khiển hệ thống. Netfilter là một framework trong Linux Kernel, xử lý các quy trình lưu lượng mạng quan trọng. Lỗ hổng Use-After-Free phát sinh khi một hàm tham chiếu đến bộ nhớ đã được giải phóng. Nếu bộ nhớ giải phóng này được kẻ tấn công phân bổ lại theo cách có kiểm soát, kẻ tấn công có thể tiêm mã độc vào đường dẫn thực thi của kernel.
Lỗ hổng được kích hoạt khi xử lý các gói mạng cụ thể, đặc biệt là trong quá trình theo dõi kết nối hoặc kiểm tra gói. Quản lý bộ nhớ không đúng cách khi tương tác với cấu trúc kernel dẫn đến con trỏ treo (dangling pointers). Kẻ tấn công có thể tạo các gói được chế tạo đặc biệt, giải phóng bộ nhớ và sau đó sử dụng lại nó để sửa đổi đường dẫn thực thi của kernel.
2. Ảnh hưởng và giảm thiểu rủi ro
| STT | Hệ thống | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | Linux kernel | 5.10.209 | 5.10.210 |
| 5.15.148 | 5.15.149 | ||
| 6.1.0 – 6.1.75 | 6.1.76 | ||
| 6.6.0 – 6.6.14 | 6.6.15 | ||
| 6.7.0 – 6.7.2 | 6.7.3 hoặc 6.8 |
CVE-2024-26808 là lỗ hổng nâng cao đặc quyền cục bộ (LPE). Việc khai thác nó cho phép kẻ tấn công có quyền truy cập cấp thấp (chẳng hạn như người dùng bình thường) leo thang đặc quyền của chúng lên đặc quyền của người dùng root. Với quyền root, kẻ tấn công có thể:
- Giành quyền kiểm soát hoàn toàn hệ thống.
- Cài đặt phần mềm độc hại hoặc rootkit.
- Di chuyển ngang trong mạng.
**Điều kiện khai thác
Lỗ hổng này yêu cầu quyền truy cập cục bộ vào hệ thống, nghĩa là nó không thể bị khai thác từ xa. Tuy nhiên, sau khi có được quyền truy cập cục bộ (thông qua các vectơ tấn công khác, chẳng hạn như lừa đảo hoặc khai thác từ xa), việc khai thác tương đối đơn giản bằng cách kích hoạt điều kiện Use-After-Free với các gói độc hại.
**Khuyến nghị
Thực hiện kiểm tra, rà soát và xác minh đối với các cảnh báo lỗ hổng, nếu có sử dụng thì cần áp dụng các biện pháp như sau:
- Cần cập nhật các phiên bản kernel lên các phiên bản đã được khuyến nghị trong cảnh báo.
- Thực hiện cấu hình hardening theo chính sách quy định.
- Nếu việc cập nhật kernel không thể thực hiện ngay lập tức, có thể tạm thời giảm thiểu rủi ro bằng cách tắt hoặc vô hiệu hóa các dịch vụ không cần thiết sử dụng Netfilter cho đến khi có thể cập nhật kernel.
