Une faille du type « Zéro Day » (CVE-2016-0728), qui existe depuis 2012, et qui expose des dizaines de millions de serveurs et ordinateurs Linux et les équipements utilisant Androïde (Smartphones et tablettes) a été découverte durant ce mois de Janvier 2016 par des chercheurs. Un exploit PoC (Proof of Concept) a été développé.
Un accès local suffit pour exploiter cette faille sur un serveur Linux. Si elle est exploitée avec succès, la vulnérabilité peut permettre à des attaquants d’obtenir un « root access» sur le système d’exploitation, d’effectuer une élévation des privilèges « droits des super utilisateurs » sur le système, permettant ainsi de supprimer des fichiers, d’accéder à des informations sensibles et d’installer des applications malveillantes.
Même si l’exploitation de la faille est facile selon les chercheurs, les protections SMEP (Supervicor Mode Access Protection) et SMAP (Supervicor mode Access Protection) rendront difficile l’exploitation des serveurs Linux, de même que SELinux offre une certaine protection sur les équipements Androïde.
La vulnérabilité existe dans les versions Linux 3.8 et celles supérieures, et les versions Android 4.4 « KitKat » et celles supérieures. Plus précisément, les versions suivantes sont théoriquement vulnérables:
1. Red Hat Enterprise Linux 7
2. CentOS Linux 7
3. Scientific Linux 7
8.x stable 4. Debian Linux (de Jessie)
5. Debian Linux tests 9.x (stretch)
6. SUSE Linux Enterprise Desktop 12
7. SUSE Linux Enterprise Desktop 12 SP1
8. SUSE Linux Enterprise Server 12
9. SUSE Linux Enterprise Server 12 SP1
10. SUSE Linux Enterprise 12 Workstation Extension
11. SUSE Linux Enterprise 12 SP1 Workstation Extension
12. Ubuntu Linux 14.04 LTS (Trusty Tahr)
13. Ubuntu Linux 15.04 (de Vervet Vivid)
14. Ubuntu Linux 15.10 (Wily loup-garou)
15. Opensuse Linux LEAP 42.x et la version 13.x
16. Oracle Linux 7
Il est recommandé aux équipes de sécurité d’examiner dès que possible les dispositifs potentiellement concernés et mettre en œuvre les correctifs (patchs) qui existent déjà.
Plus de détails techniques concernant la faille sont accessibles ainsi l’exploit PoC a été publié sur la page de Github.
En ce qui concerne Android, il est probable que les correctifs prendront un certain temps.