Microsoft et l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont récemment publié un avertissement concernant une nouvelle vulnérabilité de sécurité dans le noyau Linux, affirmant que le problème pourrait affecter un grand nombre de distributions grand public, notamment Ubuntu, Red Hat, SUSE, Debian, Fedora, Arch Linux et Amazon (AWS) Linux, et que le nombre d'appareils impliqués pourrait s'élever à des millions.
La vulnérabilité est numérotée CVE-2026-31431 et possède un score CVSS de 7,8. Il est répertorié dans le répertoire « Known Exploited Vulnerabilities » de la CISA, qui le considère comme un vecteur d'attaque courant pour les attaquants malveillants et pose un risque important pour les agences fédérales et l'environnement de l'entreprise au sens large.
CISA a souligné dans l'avis qu'il s'agit d'une vulnérabilité dans laquelle « le noyau Linux transfère de manière incorrecte les ressources entre différents domaines de sécurité ». En cas d'exploitation, cela peut entraîner l'élévation des autorisations locales au niveau racine. Ce type d'élévation locale des privilèges est particulièrement dangereux dans les environnements de charge de travail fortement conteneurisés et multi-locataires basés sur ces distributions, car une fois qu'un attaquant obtient un accès initial au système, il existe une opportunité de rompre davantage l'isolation et de prendre le contrôle de l'ensemble du nœud.
Red Hat a publié un avis de sécurité le mois dernier pour fournir une explication technique plus détaillée de ce problème. Selon l'annonce, la vulnérabilité apparaît dans l'interface de l'algorithme de chiffrement algif_aead du noyau Linux. En raison de l'introduction d'une implémentation incorrecte de « l'opération sur place », le mappage mémoire des données source et des données cibles est incohérent. En conséquence, un comportement inattendu ou des problèmes d'intégrité des données peuvent survenir pendant l'opération de chiffrement, affectant ainsi la fiabilité de la communication chiffrée.
Les chercheurs en sécurité de Microsoft ont en outre retracé la faille logique dans le sous-système de chiffrement du noyau et ont souligné que le problème se concentrait sur une optimisation du module algif_aead dans le cadre AF_ALG introduit en 2017. Les « optimisations sur place » à l'époque entraînaient une réutilisation incorrecte de la mémoire source du noyau comme tampon de destination lors de l'exécution de certaines opérations cryptographiques. Un attaquant peut exploiter l'interaction entre l'interface du socket AF_ALG et l'appel système splice() pour obtenir une écriture contrôlée de 4 octets dans le cache des pages du noyau, altérant ainsi précisément les structures de données critiques.
Les chercheurs ont déclaré que ce processus d'attaque peut être implémenté via un script Python et modifié pour des fichiers binaires à privilèges élevés tels que /usr/bin/su afin qu'il puisse s'exécuter directement avec les privilèges root lors de son exécution. Contrairement à de nombreux exploits du noyau qui reposent sur des conditions de concurrence critique, l'exploitation de cette vulnérabilité ne repose pas sur des courses de timing, mais peut être reproduite de manière stable et déterministe via un petit script d'environ 732 octets. Cette vulnérabilité est considérée comme un moyen d'élévation de privilèges « hautement fiable » car elle peut être exploitée avec succès sur diverses distributions majeures avec peu de modifications.
Dans un environnement de cloud computing, les risques liés à cette fonctionnalité sont encore amplifiés. De nombreux conteneurs partagent le même noyau hôte. Une fois que cette vulnérabilité existe dans la version sous-jacente du noyau, une violation d'un seul conteneur peut se propager à l'ensemble du nœud et être complètement pris en charge. Microsoft prévient que même si un attaquant ne dispose initialement que d'un accès limité, par exemple en se connectant en tant qu'utilisateur peu privilégié via SSH ou en obtenant des opportunités d'exécution dans un pipeline CI/CD, cette vulnérabilité pourrait suffire à passer aux privilèges root, à violer les limites du conteneur, à permettre un mouvement latéral et à infecter d'autres charges de travail dans un environnement multi-tenant.
Actuellement, les activités d’utilisation observées publiquement en sont principalement au stade de la validation de principe (PoC) et n’ont pas été militarisées ni proliférées à grande échelle. Néanmoins, Microsoft a publié des signatures de détection via Microsoft Defender XDR pour aider les organisations de tous types à identifier les tentatives d'exploitation potentielles et les systèmes compromis. Microsoft exhorte également l'équipe de sécurité à terminer les mises à jour du noyau dès que possible après que chaque version ait fourni les correctifs correspondants pour éliminer fondamentalement les risques.
Jusqu'à ce qu'un correctif soit entièrement en place, Microsoft recommande de prendre une série de mesures d'atténuation, notamment la désactivation temporaire des fonctionnalités cryptographiques associées affectées ou l'interdiction de la création de sockets AF_ALG afin de réduire l'exposition à la surface d'attaque. En outre, les politiques de contrôle d'accès doivent être renforcées pour limiter la portée des comptes pouvant exécuter du code arbitraire sur le système, et l'isolation du réseau doit être utilisée pour réduire la possibilité de propagation latérale dans l'environnement interne après un seul point de compromis. Pour les nœuds présentant des signes suspects, une récupération et une reconstruction rapides, associées à l’audit des journaux et à la détection des comportements, constituent également des moyens importants pour réduire les risques à long terme.
