Vulnerabilidad crítica en el Kernel de Linux

La vulnerabilidad identificada como CVE-2021-43267, de severidad crítica con una puntuación de 9.8, reside en el módulo de comunicación transparente entre procesos (TIPC) del kernel de Linux.

TIPC (Transparent Inter Process Communication) es un protocolo de capa de transporte que ayuda a los nodos que se ejecutan en un entorno de clúster dinámico a comunicarse entre sí de manera confiable. Este protocolo es más eficiente que TCP. La vulnerabilidad CVE-2021-43267 se debe a una validación insuficiente para los tamaños proporcionados por el usuario para MSG CRYPTO, un nuevo tipo de mensaje.

El protocolo TIPC se introdujo en septiembre de 2020, permitiendo que los nodos pares en el clúster envíen claves criptográficas. La falta de restricciones en la longitud de la clave podría conducir a un escenario en el que un actor de amenazas crea un paquete con un tamaño de cuerpo pequeño para asignar memoria dinámica y luego use un tamaño arbitrario en el «keylen” atributo para escribir fuera de los límites de esta ubicación.

Esta vulnerabilidad se puede aprovechar tanto de forma local como remota. Si bien la explotación local es más fácil debido a un mayor control sobre los objetos asignados en el kernel, la explotación remota se puede lograr gracias a las estructuras que soporta TIPC.

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante realizar ejecución remota de código (RCE) y comprometer totalmente el sistema.

El parche que soluciona esta vulnerabilidad fue incluido en la versión 5.15 del kernel Linux el 31 de octubre de 2021.

Sistemas afectados:

La vulnerabilidad afecta a las versiones del kernel de Linux comprendidas entre la 5.10 y la 5.14.16. Cabe señalar que, si bien el módulo TIPC viene con todas las distribuciones principales de Linux, no está «activado» de forma predeterminada y debe habilitarse para que un sistema sea vulnerable a los ataques.

Recomendaciones:

  • Recomendamos actualizar su kernel a la versión 5.15 lo antes posible.

Nota: Antes de descargar e instalar en su servidor de producción, recomendamos probar esto en una máquina de prueba.

Referencia:

Compartir: