NetFilter è un framework che si occupa di filtrare i pacchetti dati a livello di kernel Linux: consente di passare al setaccio, modificare e manipolare il traffico di rete in ingresso e in uscita sul sistema offrendo funzionalità avanzate di traffic monitoring con la possibilità di bloccare o limitare l’accesso a determinati servizi o siti Web massimizzando la sicurezza del sistema.
Un componente come NetFilter opera utilizzando una serie di moduli nel kernel Linux che intercettano i pacchetti di rete in transito: i moduli possono essere configurati utilizzando strumenti come iptables
e lo stesso firewall UFW, che consente di definire regole di filtraggio basate su indirizzi IP, porte, protocolli e altre caratteristiche del pacchetto. In questo modo, è possibile definire politiche di sicurezza personalizzate per la gestione del traffico di rete su un sistema Linux.
Ampiamente utilizzato in diversi progetti e distribuzioni di Linux, NetFilter è un’importante risorsa per la gestione della sicurezza del sistema Linux e del traffico di rete.
Il fatto è che è stata scoperta una nuova grave vulnerabilità (CVE-2023-32233) in NetFilter che consente agli utenti locali sprovvisti di particolari privilegi di acquisire i diritti di root senza averne titolo e guadagnando così il completo controllo del sistema. I ricercatori hanno scoperto che inviando specifiche richieste in modalità batch, è possibile provocare la corruzione dello stato interno del sottosistema su cui si basa Netfilter e arrivare, appunto, all’acquisizione dei privilegi utente più elevati in assoluto.
Il problema di sicurezza riguarda molteplici versioni del kernel Linux, quindi potenzialmente tutte le distribuzioni e i dispositivi in circolazione. Vulnerabile, ad esempio, è anche la più recente release stabile v6.3.1 del kernel. Va detto, tuttavia, che per sfruttare con successo la vulnerabilità, è necessario prima disporre o guadagnare l’accesso locale al sistema basato su Linux.
L’ingegnere Pablo Neira Ayuso ha pubblicato una richiesta di modifica del kernel Linux che integra la patch per la problematica appena venuta a galla in NetFilter.
Dal canto loro, i ricercatori Patryk Sondej e Piotr Krysiuk, che hanno scoperto il problema e lo hanno segnalato responsabilmente in privato al team che segue lo sviluppo del kernel Linux, hanno confermato di aver già sviluppato codice PoC (proof-of-concept) funzionante e che lo renderanno pubblico intorno alla metà di maggio.