Se ha identificado una vulnerabilidad crítica, CVE-2024-53141, en el subsistema netfilter del kernel de Linux, que podría ser explotada por atacantes locales para escalar privilegios. El fallo, que afecta a la funcionalidad del mapa de bits ipset, podría permitir que usuarios con pocos privilegios obtengan acceso de nivel root en sistemas vulnerables.
Detalles de la vulnerabilidad
La falla se debe a una condición de escritura fuera de límites y afecta a las versiones del kernel de Linux hasta la 6.12.2. Este problema es especialmente grave porque puede ser explotado por cualquier usuario local con acceso a las funcionalidades de netfilter, lo que representa un riesgo significativo en entornos multiusuario y en contenedores.
Si un atacante logra explotar esta vulnerabilidad, podría eludir los controles de seguridad, obtener acceso administrativo no autorizado y comprometer toda la infraestructura del sistema. Esto es particularmente preocupante para sistemas que funcionan como dispositivos de seguridad de red, firewalls y plataformas de orquestación de contenedores que dependen en gran medida de netfilter.
Recomendaciones y solución
Los desarrolladores del kernel de Linux han lanzado un parche de seguridad que aborda este problema. La solución implementa una validación adecuada para las operaciones de rango de IP, lo que corrige la falla.
Se recomienda a los administradores de sistemas que actualicen sus kernels de Linux de inmediato a la versión que incluya el parche de seguridad. En caso de que la actualización no sea posible, se aconseja restringir el acceso a las funcionalidades de netfilter y monitorear los registros del sistema en busca de cualquier actividad sospechosa relacionada con ipset.
Para más detalles técnicos, puedes revisar la información del parche con el hash 35f56c554eb1b56b77b3cf197a6b00922d49033d.
