[ Linux ] Root local exploit on linux kernel 3.4+

Hello les geek’s !

Je viens d’apprendre via le site 1337day ( c’est l’une de mes banques de données ) qu’un nouvel exploit ( heureusement local ) a été trouvé.
Il faut savoir que l’exploit est uniquement en local, c’est à dire qu’il vous faudra avoir un accès au prompt du serveur ( SSH, WebShell, … ).

Suis-je impacté ?

Déjà il faut savoir que l’exploit concerne uniquement les kernels 3.4 et supérieur. Il est déjà donc très rare de trouver ce genre de kernel sur des serveurs ( qui sont généralement toujours en version 2.6 ). Pour le savoir un simple « uname -a » vous permettra de connaitre votre kernel :

[apache@ubuntu:~]$ uname -a
Linux ubuntu 3.11.0-15-generic #23-Ubuntu SMP Mon Dec 9 18:17:04 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux

Ci-dessus, nous avons un kernel en version 3.11 et donc éligible à cette faille.

Comment vérifier la faille ?

J’ai fournis un lien sur le site d’exploit au début de cet article. Pour vérifier si la faille est disponible, il vous faudra tout simplement exécuter l’exploit sur votre poste.
Nous allons exploiter cette faille ensemble mais avant de continuer, assurez-vous d’avoir « gcc » d’installé ( le compilateur ) car nous aurons uniquement le fichier source…

Il vous suffit donc de télécharger le fichier de ce lien ( utilisez un curl/wget ) puis compilez-le avec cette commande ( la compilation peut prendre un peu de temps ) :

[apache@ubuntu:~]$ gcc recvmmsg.c -o recvmmsg

Ensuite vous pouvez directement exécuter le fichier qui a été précédemment généré :

[apache@ubuntu:~]$ ./recvmmsg
byte 3 / 3.. ~0 secs left.    
w00p w00p!
# id
uid=0(root) gid=0(root) groups=0(root)
# sh phalanx-2.6b-x86_64.sh
unpacking..

Précautions !

Nous avons vue que cet exploit est uniquement en local. Mais sa mise en place peut très bien être effectué depuis un WebShell injecté depuis une faille de votre site !
De ce fait le hacker peut ce servir de l’outil pour passer directement root depuis son WebShell et c’est à partir d’ici que le danger arrive.

Outre le mot de passe root, je vous recommande d’utiliser une clé SSH pour faire vos connexions.
Idéalement, créé un utilisateur ( avec les droits sudo ) accessible uniquement par clé ( surtout si le hacker purge les clé SSH de l’utilisateur root ).

Comment patcher la faille ?

Pour le moment, je n’ai pas de détails sur la résolution de cette faille.
Je ne connais pas non plus la dernière version du kernel sensible à cette faille.

Je n’oublierai pas de mettre cet article à jour dès que j’aurai plus d’informations sur ce sujet !
Les commentaires sont disponibles en cas de questions ( ou même de réponses ).

A bientôt !