Le monde de la cybersécurité Linux est une nouvelle fois secoué par une vulnérabilité critique baptisée DirtyDecrypt, également connue sous le nom de DirtyCBC.
Cette faille de type Local Privilege Escalation (LPE) permet à un utilisateur local non privilégié d’obtenir les droits root sur certaines distributions Linux vulnérables.
La vulnérabilité a rapidement attiré l’attention des chercheurs en sécurité après la publication d’un Proof of Concept (PoC) fonctionnel démontrant la possibilité d’obtenir un accès administrateur complet sur des systèmes affectés.
Dans un contexte où les attaques contre les infrastructures Linux se multiplient, DirtyDecrypt s’inscrit dans une série de vulnérabilités récentes liées au noyau Linux, comme Copy Fail, Dirty Frag ou encore Fragnesia.
DirtyDecrypt est une vulnérabilité présente dans le noyau Linux, plus précisément dans le composant rxgk utilisé par le sous-système réseau RxRPC. Le problème provient d’une mauvaise gestion du mécanisme Copy-on-Write (COW)lors du traitement de certaines opérations de déchiffrement.
Le bug permet à un attaquant local de modifier des pages mémoire partagées qui devraient normalement être protégées. En pratique, cela ouvre la porte à des attaques permettant, l’écriture dans le cache mémoire de fichiers protégés, la modification de fichiers critiques,…
Tous les systèmes Linux ne sont pas vulnérables. La faille touche principalement les noyaux Linux utilisant le module rxgk, avec l’option de compilation CONFIG_RXGK. Certaines distributions sont plus exposées car elles activent cette fonctionnalité dans leurs noyaux récents.
Fedora, Arch Linux, openSUSE Tumbleweed, seraient potentiellement concernées, alors que des distributions plus conservatrices comme Debian Stable ou Ubuntu LTS pourraient être moins exposées selon la configuration du noyau utilisé.
