Uma vulnerabilidade recentemente descoberta no kernel do Linux, identificada como CVE-2024-27397, tem chamado a atenção da comunidade de segurança cibernética. Esta falha, que afeta versões do kernel de 4.1 até 6.7.4, representa um risco significativo de elevação de privilégios local, permitindo que atacantes potencialmente obtenham controle total sobre sistemas afetados[1][2].
Detalhes Técnicos da Vulnerabilidade
A vulnerabilidade reside no componente nf_tables do subsistema netfilter do kernel Linux. Especificamente, o problema surge devido a um erro de “use-after-free” na manipulação de timeouts para elementos de conjunto dentro do nf_tables[4]. Este erro permite que um elemento expire antes que uma transação do plano de controle seja concluída, criando uma condição de corrida que pode ser explorada[2].
O pesquisador de segurança liona24 realizou uma análise aprofundada da vulnerabilidade, revelando que o problema está enraizado na função nft_set_elem_expired definida em nf_tables.h[4]. A exploração envolve a criação de uma transação específica que manipula contagens de referência, potencialmente levando a um controle do ponteiro de instrução (RIP) e permitindo uma exploração mais ampla[4].
Impacto e Gravidade
Com uma pontuação CVSS de 7.0, esta vulnerabilidade é classificada como de alta severidade[4][6]. Embora requeira acesso local para ser explorada, ela permite que um atacante autenticado obtenha privilégios elevados ou cause uma falha no sistema[3]. A exploração bem-sucedida pode resultar em:
- Escalada de privilégios local
- Execução de código arbitrário com privilégios elevados
- Negação de serviço (crash do sistema)
Prova de Conceito (PoC) Disponibilizada
O que torna esta vulnerabilidade particularmente preocupante é o lançamento de um código de prova de conceito (PoC) pelo pesquisador liona24[4]. Este PoC demonstra a viabilidade da exploração, com testes mostrando uma taxa de sucesso de 90% a 100% quando o Address Space Layout Randomization (ASLR) é contornado[4]. A disponibilidade deste PoC aumenta significativamente o risco de exploração em ambientes não corrigidos.
Mitigação e Correções
Para mitigar esta vulnerabilidade, recomenda-se fortemente que os administradores de sistemas atualizem seus kernels Linux para as versões corrigidas. As seguintes ações são recomendadas:
- Atualizar para o kernel Linux versão 6.7.5 ou 6.8, que contêm as correções necessárias[8].
- Aplicar o patch 383182db8d58/7395dfacfff6, disponível no repositório git do kernel[8].
- Manter-se informado sobre atualizações de segurança e aplicá-las prontamente.
Conclusão
A CVE-2024-27397 representa uma ameaça significativa para sistemas Linux, especialmente considerando a disponibilidade de um PoC público. Organizações e indivíduos que utilizam sistemas Linux devem priorizar a aplicação das correções disponíveis para mitigar o risco de exploração. Esta vulnerabilidade serve como um lembrete da importância de manter sistemas atualizados e seguir as melhores práticas de segurança cibernética.
À medida que a landscape de ameaças continua a evoluir, a vigilância constante e a rápida resposta a vulnerabilidades como esta são cruciais para manter a integridade e segurança dos sistemas Linux em ambientes corporativos e pessoais.
Citations:
[1] https://www.crowdstrike.com/en-us/blog/active-exploitation-linux-kernel-privilege-escalation-vulnerability/
[2] https://ogma.in/detailed-analysis-and-mitigation-of-cve-2024-27397-in-linux-kernel
[3] https://www.rewterz.com/threat-advisory/cve-2024-27397-linux-kernel-vulnerability
[4] https://securityonline.info/linux-kernel-privilege-escalation-vulnerability-cve-2024-27397-exploited-poc-released/
[5] https://vulert.com/vuln-db/CVE-2024-27397
[6] https://security.snyk.io/vuln/SNYK-ORACLE9-KERNEL-7545710
[7] https://securityonline.info
[8] https://vuldb.com
[9] https://security.snyk.io/vuln/SNYK-RHEL9-PYTHON3PERF-8478016
[10] https://access.redhat.com/security/cve/cve-2024-27397
[11] https://security.snyk.io/vuln/SNYK-RHEL9-KERNELDEBUGDEVEL-8477795
[12] https://x.com/Dinosn/status/1879020794850025970
[13] https://twitter.com/the_yellow_fall/status/1878999568496693347
[14] https://twitter.com/fridaysecurity/status/1878999498581774753
[15] https://security.dev.snyk.io/vuln/SNYK-RHEL9-KERNEL-8478560
[16] https://www.linkedin.com/posts/jpcastro_cve202427397-linuxkernel-cybersecurity-activity-7284774341160968193-yAt7
