La faille Copyfail menace le monde Linux

Une vulnérabilité fournissant un accès root au noyau Linux a été découverte par des chercheurs en sécurité exposant plusieurs distributions. Escalade de privilèges et risque de compromission des environnements Kubernetes mettent les RSSI sous pression.

De gravité élevée, une vulnérabilité repérée dans le noyau Linux affecte toutes les distributions commercialisées depuis 2017. Les responsables de la sécurité doivent s'assurer que leurs systèmes bloquent toute élévation de privilèges non autorisée jusqu'à ce que les distributions publient des patchs pour la combler. « Tant que des correctifs ne seront pas disponibles pour ce bug baptisé « Copy Fail » (CVE-2026-31431), qui permet aux utilisateurs d’obtenir facilement un accès root, les RSSI n’ont pas grand-chose à faire », a expliqué Johannes Ullrich, doyen de la recherche au SANS Institute, à condition qu’ils aient déjà mis en place une surveillance des montées de privilèges. Avec un accès root, un acteur malveillant peut tout faire sur un système, du vol de données à leur effacement. « La vulnérabilité Copy Fail est importante car elle est facile à exploiter et affecte la plupart, voire la totalité, des systèmes Linux actuellement en production », a ajouté M. Ullrich dans un courriel à CSO.

« D'un autre côté, les failles d'élévation de privilèges sont assez courantes, et un attaquant doit d'abord être capable d'exécuter du code sur le système pour les exploiter. Des faiblesses de configuration courantes peuvent aussi ouvrir la voie à ce type d'attaques », a-t-il fait remarquer. Cette faille ne nécessite pas de priorité particulière, mais elle doit être corrigée. « Il faudra appliquer les correctifs dès qu’ils seront disponibles », a-t-il insisté. « Un redémarrage sera peut-être nécessaire pour protéger pleinement les systèmes concernés après l'application du correctif », a-t-il précisé. « Jeudi dernier à midi, seule Arch Linux avait publié un correctif », a-t-il poursuivi. Depuis la majorité des distributions comme Debian, Ubuntu, AlmaLinux, Fedora, Suse, Red Hat ont appliqué des correctifs.

Un bug logique du noyau

La vulnérabilité a été découverte par des chercheurs de l’entreprise sud-coréenne Theori, en partie grâce à son scanner de vulnérabilités basé sur l'IA. Elle a été signalée à l'équipe de sécurité du noyau Linux le 23 mars. Le 1ᵉʳ avril, des correctifs ont été intégrés au noyau principal, et un identifiant CVE a été attribué le 22 avril. La divulgation publique n'a eu lieu que la semaine dernière, lorsque Theori a publié un billet de blog sur ses travaux. Copy Fail est un bug logique dans le modèle cryptographique authencesn du noyau Linux. Un utilisateur local sans privilèges peut l’exploiter pour déclencher une écriture déterministe et contrôlée de 4 octets dans le cache de page de n'importe quel fichier lisible sur le système. L'exploit découvert consiste en un simple script Python de 732 octets avec lequel un utilisateur non autorisé peut obtenir un accès root. « Cette vulnérabilité donne également la capacité de compromettre des conteneurs Kubernetes », a souligné Theori, un point que l’entreprise prévoit d’expliquer dans un prochain billet de blog.

Les responsables de la sécurité informatique, les administrateurs Linux et autres peuvent trouver plus d'informations sur ce problème sur le site web Copy Fail, géré par les chercheurs de Theori. Selon eux, les systèmes à corriger en priorité lorsque les correctifs seront disponibles sont : les hôtes Linux multi-instances, les systèmes équipés de conteneurs Kubernetes, les exécuteurs d'intégration continue et les fermes de compilation - notamment les actions GitHub -, et les exécuteurs GitLab ou les agents Jenkins. Ainsi que les systèmes SaaS dans le cloud exécutant du code utilisateur, tels que les fichiers hosts, les sandbox d'agents, les fonctions serverless ou tout conteneur ou script fourni par une instance.

De nombreuses distributions concernées

Le nombre de distributions concernées est « énorme », a déclaré Kellman Meghu, directeur technique de l’entreprise canadienne de réponse aux incidents DeepCove Security, « et nous n’avons pas eu assez de temps pour corriger, tester et distribuer le correctif du noyau à toutes les distributions » après la découverte de la faille le mois dernier. « Il n’y a pas grand-chose à faire, si ce n’est commencer à recenser les systèmes à risque et surveiller chaque mise à jour de distribution », a-t-il ajouté. Celui-ci recommande d’appliquer immédiatement les correctifs du noyau (si possible) et d’essayer d’isoler ou de surveiller tout système Linux partagé jusqu’à ce qu’il soit corrigé. Il suggère aussi de demander à tous les fournisseurs et aux chaînes d’approvisionnement tierces leurs plans et leurs évaluations des risques afin d’être sûr que la distribution interagit avec prudence avec d’autres systèmes qui pourraient être exposés. » Pour Debian, Ubuntu et les autres systèmes basés sur Debian, « le code exploitable se trouve dans un module du noyau distinct qui peut être désactivé à l’aide de commandes du noyau », a ajouté M. Meghu. Cependant, de nombreuses autres distributions l’intègrent directement dans le noyau, ce qui rend la modification moins aisée. « Cela varie d’une distribution à l’autre, il est donc essentiel de disposer d’un inventaire et d’un plan pour chacune d’entre elles afin de prendre les devants face à cette vulnérabilité », a-t-il précisé.

« Copy Fail n'est pas le premier bug d'élévation de privilèges à faire la une des médias », ont noté les chercheurs de Theori. La faille Dirty Cow (CVE-2016-5195) nécessitait de remporter une condition de concurrence dans le chemin copy-on-write du sous-système d'une machine virtuelle. Il fallait souvent plusieurs tentatives pour réussir, et cela provoquait parfois un plantage du système. De son côté Dirty Pipe (CVE-2022-0847) était spécifique à une version et nécessitait une manipulation précise du pipe-buffer. « Mais Copy Fail est un bug straight-line logic, c’est-à-dire une faille déterministe, qui marche à tous les coups, sans nouvelle tentative ni fenêtre temporelle susceptible de provoquer un plantage », ont souligné les chercheurs. L'exploit créé par Theori fonctionnait sur Ubuntu, Amazon Linux, RHEL et Suse Linux. « L'exploit est trivial », a déclaré M. Meghu de DeepCove Security. « La bonne nouvelle, c'est qu'il ne s'agit pas d'une exécution de code à distance, ce qui laisse une marge de manœuvre pour appliquer des correctifs lorsque ceux-ci seront disponibles, mais il faut accorder la priorité à tous les systèmes partagés, car n'importe quel utilisateur local pourrait facilement élever ses privilèges au niveau root. Ces systèmes sont actuellement exposés à un risque extrême. »

Sa plus grande crainte est qu’une faille puisse s’inscrire dans une chaîne d’attaques. « Étant donné que l’élévation des privilèges est très facile à réaliser, je ne suis pas du tout enthousiaste à l’idée d’attendre les correctifs. » Un exploit pourrait toucher l’ensemble des systèmes Linux et des conteneurs d’un service IT, ainsi que la supply chain logicielle de l’entreprise, et il faudra « un travail considérable » pour corriger et vérifier chaque système, s’est-il inquiété. Cela signifie que les responsables de la sécurité informatique devront avoir une bonne maîtrise de leur inventaire logiciel et de ses dépendances. « Je suis également très préoccupé par le nombre infini de périphériques matériels sous Linux qui, probablement, ne sont pas souvent corrigés, voire jamais, et qui feront partie des systèmes IoT ou grand public pendant des années », a ajouté M. Mehgu. « Ceux qui travaillent dans le support des périphériques matériels sous Linux vont avoir une rude journée », a-t-il commenté. « Cette vulnérabilité rend les attaques de type LOTL (living-off-the-land) incroyablement faciles », a-t-il conclu, « il est vraiment crucial de surveiller ses systèmes à la recherche d’activités inhabituelles. »