已公開利用的 Linux 內核高危漏洞:CVE-2024-36904
安全研究人員近日公開了一個針對CVE-2024-36904的概念驗證(PoC)利用程序。這個高危的“釋放后使用”(use-after-free)漏洞存在于Linux內核中,且已潛伏七年之久。該漏洞影響了TCP子系統,攻擊者可能利用它以內核權限執行遠程代碼。
漏洞詳情
該漏洞源于inet_twsk_hashdance()函數中的競態條件:TCP套接字的引用計數器在插入哈希表并釋放鎖之后才會被初始化。如果在初始化完成之前進行另一個查找操作,可能會訪問到一個未初始化引用計數器的對象。
這種漏洞在某些特定的執行序列下可以繞過內核的保護機制。當套接字的操作遵循特定順序時,引用計數器可能會失衡,從而導致真正的“釋放后使用”漏洞利用。
該漏洞的CVSS評分為7.0(高危),表明其潛在影響極為嚴重。
風險因素 | 詳情 |
受影響產品 | Red Hat Enterprise Linux 8/9、AlmaLinux 9、Rocky Linux 8、SUSE Linux企業版產品、Amazon Linux 2/2023、NetApp AFF/FAS BMC(A700s, 8300/8700/A400/C400)、NetApp E-Series SANtricity OS 11.x、Dell PowerProtect Cyber Recovery、Dell Cloud Tiering Appliance |
影響 | 在內核環境中執行任意代碼,可能導致系統完全被控制 |
利用前提 | 需要本地訪問受影響系統,且具備低權限 |
CVSS 3.1評分 | 7.0(高危) |
PoC利用詳解
研究人員解釋說:“在原始內核版本中,syzkaller重現器需要數小時才能觸發引用計數器警告。在我們的實驗中,運行6個并行實例時,大約需要48小時。”
為了演示,研究團隊啟用了KASAN并對內核進行了修改,移除了TCP緩存的RCU標志,從而在30分鐘內觸發了KASAN崩潰報告。
所有實驗均在Alma Linux 9(內核版本5.14.0-362.24.2.el9_3.x86_64)上完成,該系統運行在VMware Workstation虛擬機中。研究倉庫中提供了應用必要補丁的詳細說明。
該漏洞影響了包括Red Hat Enterprise Linux衍生版和Fedora在內的眾多Linux發行版。許多企業產品,如NetApp系統,也被確認易受攻擊。其潛在的利用威脅不容小覷。成功利用該漏洞,攻擊者可以在內核環境中執行任意代碼,甚至可能完全控制系統。
緩解措施
該漏洞已于2024年5月在上游修復,但許多發行版在漏洞被發現時仍未集成該修復。特別是Red Hat Enterprise Linux 9生態系統,已于2024年7月16日在內核5.14-427.26.1中修復了該漏洞。
安全專家強烈建議立即對所有受影響系統進行補丁更新。系統管理員應優先更新到包含安全補丁的最新內核版本,以緩解這一長期存在的高危漏洞。
