Une porte dérobée silencieuse vieille de seize ans
Une vulnérabilité de sécurité locale, désignée sous le nom de CIFSwitch, a été mise au jour par des chercheurs. Elle affecte le noyau Linux, cœur du système d'exploitation open source, et toucherait un grand nombre de distributions grand public et serveur. La particularité de cette faille est sa longévité : elle serait présente dans le code source du noyau depuis l'année 2009, selon les travaux des experts qui l'ont découverte.
La vulnérabilité s'apparente à un défaut de vérification dans le module réseau du noyau. Un utilisateur disposant d'un accès local restreint peut l'exploiter pour élever ses privilèges et obtenir les droits les plus élevés, ceux du super-utilisateur (root). Concrètement, une personne malintentionnée déjà présente sur un système – par exemple via un compte utilisateur classique ou par l'exécution de code à distance – pourrait utiliser CIFSwitch pour prendre le contrôle total de la machine.
Un mécanisme exploitant le cache du réseau
Le nom CIFSwitch est un acronyme renvoyant à l'élément du noyau qui est en cause : le CIF Switch, un composant lié à la gestion des connexions réseau. Le défaut réside dans la façon dont cet élément traite certaines opérations de mise en cache des informations. Un attaquant peut orchestrer un dépassement de tampon afin d'écrire des données arbitraires dans des zones mémoire protégées, ce qui lui permet ensuite d'exécuter du code malveillant en mode noyau.
Les chercheurs à l'origine de la découverte ont démontré la faisabilité de l'attaque sur un système Ubuntu. Des tests supplémentaires auraient confirmé la présence de la vulnérabilité sur d'autres distributions, comme Debian, Fedora ou CentOS, mais aussi sur des systèmes utilisant des noyaux plus récents. La faille affecte aussi bien les architectures x86 que ARM, élargissant le périmètre aux serveurs comme aux appareils embarqués ou aux smartphones sous Linux.
Des correctifs en cours de déploiement
L'équipe de sécurité du noyau Linux a été alertée par les chercheurs. Un correctif a déjà été intégré dans la branche principale du noyau en amont (linux-next). Les distributions aval commencent à préparer des mises à jour de sécurité. Les administrateurs système sont invités à appliquer les patchs dès leur publication par leur éditeur respectif, sans attendre.
En attendant une mise à jour officielle, les experts recommandent de limiter les accès locaux non nécessaires et de surveiller les tentatives d'exploitation via les journaux système. La vulnérabilité nécessite un accès local, ce qui réduit son exploitation à distance, mais elle reste critique car elle peut servir de chaînon dans une attaque multi-étapes.
Un impact potentiel très large
Cette découverte rappelle que des failles dormant dans le code depuis des années peuvent resurgir. Le noyau Linux équipe une immense variété de systèmes : serveurs web, infrastructures cloud, objets connectés, smartphones Android, ou encore des solutions embarquées industrielles. La surface d'exposition de CIFSwitch est donc considérable.
Les chercheurs n'ont pas communiqué de preuve d'une exploitation active de cette faille dans des attaques réelles. Ils jugent cependant que sa simplicité d'exploitation et la durée de sa présence rendent probable son utilisation par des acteurs malveillants avertis, même sans trace publique.
