Die US-amerikanische Cybersicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat eine dringende Warnung herausgegeben: Eine schwerwiegende Sicherheitslücke im Linux-Kernel wird aktiv ausgenutzt, um bösartigen Akteuren root-Rechte auf verwundbaren Systemen zu verschaffen. Diese Sicherheitslücke betrifft eine Use-after-free-Schwachstelle in der nf_tables-Komponente von Netfilter und trägt die Kennung CVE-2024-1086.
Die betreffende Schwachstelle befindet sich in der Funktion nft_verdict_init() innerhalb der nf_tables-Komponente von Netfilter, die im Linux-Kernel für die Paketfilterung und die Netzwerkadressübersetzung (NAT) zuständig ist. Der sicherheitsrelevante Fehler ergibt sich daraus, dass positive Werte als "Drop"-Fehler zugelassen werden, was in der Funktion nf_hook_slow() zu einem doppelten Freigeben von Ressourcen (Use-after-free) führen kann.
Konkret tritt das Problem auf, wenn ein Paket den NF_DROP-Status erhält, aber ein "Drop"-Fehler auftritt, der einem positiven anstatt eines erwarteten negativen Werts entspricht. Dies führt dazu, dass der Kernel versucht, Ressourcen freizugeben, die bereits freigegeben wurden, was das System in einen instabilen Zustand versetzt und es Angreifern ermöglicht, willkürlichen Code auszuführen und sich root-Rechte zu verschaffen.
Die aktive Ausnutzung dieser Sicherheitslücke stellt eine erhebliche Gefahr dar, da Angreifer root-Rechte auf betroffenen Systemen erlangen können. Mit root-Rechten haben sie uneingeschränkten Zugriff auf das System, was bedeutet, dass sie nicht nur Daten stehlen oder zerstören, sondern auch Schadsoftware installieren, die Netzwerkkommunikation überwachen und manipulieren sowie weitere Systeme im Netzwerk angreifen können.
Die Tragweite dieser Schwachstelle wird durch die weitverbreitete Nutzung des Linux-Kernels noch verstärkt. Linux ist das Betriebssystem der Wahl für viele Server, Cloud-Infrastrukturen und eingebettete Systeme. Ein erfolgreicher Angriff kann somit weitreichende Auswirkungen auf die betroffene Infrastruktur haben.
Die CISA empfiehlt allen Betreibern von Linux-Systemen dringend, ihre Systeme so schnell wie möglich zu aktualisieren. Es ist essenziell, die neuesten Patches zu installieren, die diese Sicherheitslücke schließen. Administratoren sollten sicherstellen, dass ihre Systeme regelmäßig aktualisiert werden und Sicherheitslücken zeitnah behoben werden, um das Risiko von Angriffen zu minimieren.
Zusätzlich zur Installation von Patches empfiehlt die CISA, sicherzustellen, dass Systeme durch Firewalls und andere Sicherheitsmaßnahmen geschützt sind. Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) können dabei helfen, verdächtige Aktivitäten zu erkennen und zu blockieren. Regelmäßige Überprüfungen der Systemprotokolle und Sicherheitsüberprüfungen können ebenfalls dazu beitragen, potenzielle Sicherheitsvorfälle frühzeitig zu identifizieren.
Use-after-free-Schwachstellen entstehen, wenn ein Programm versucht, auf Speicher zuzugreifen, der bereits freigegeben wurde. Diese Art von Fehler kann dazu führen, dass ein Angreifer die Kontrolle über den Speicher übernimmt und eigenen Code ausführt. In der Praxis kann dies zur Folge haben, dass ein Angreifer die Kontrolle über das gesamte System erlangt.
Im Fall von CVE-2024-1086 tritt die Schwachstelle auf, weil positive Werte als Fehlerzustände akzeptiert werden, was zu einem doppelten Freigeben von Ressourcen führt. Dieser Fehler zeigt, wie komplex und fehleranfällig die Verwaltung von Speicher und Ressourcen in modernen Betriebssystemen sein kann.
