Descobrindo acidentalmente uma vulnerabilidade de sete anos no Kernel do Linux

Uma recente descoberta da Allele Security Intelligence revelou uma vulnerabilidade crítica no kernel do Linux, que permaneceu oculta por sete anos. A falha, identificada no subsistema TCP, foi encontrada durante uma auditoria de rotina e pode levar a um cenário de use-after-free, possibilitando o uso indevido de memória e possíveis explorações maliciosas.

A descoberta inesperada

A equipe de pesquisa da Allele Security conduz auditorias regulares para identificar vulnerabilidades conhecidas que ainda afetam distribuições populares do Linux, mesmo após a aplicação de correções no upstream. Durante esse processo, ao analisar registros do fuzzer Syzkaller, os pesquisadores perceberam um comportamento anômalo e decidiram investigar mais a fundo.

O problema estava relacionado ao mecanismo de controle de referência de objetos dentro do kernel. Especificamente, um socket TCP em estado time-wait teve seu contador de referência inicializado após ser inserido em uma tabela hash, sem verificar seu estado anterior. Essa condição criou uma condição de corrida, onde um erro na ordem de execução das operações permitia que o objeto fosse acessado após sua liberação, levando ao risco de corrupção de memória.

Impacto e Exploração

A vulnerabilidade foi registrada como CVE-2024-36904 e poderia ser explorada em sistemas que utilizam versões não corrigidas do kernel. Embora o Linux tenha proteções para detectar falhas no contador de referência, a descoberta demonstrou que uma sequência específica de eventos poderia contornar essas defesas, resultando em um verdadeiro use-after-free.

A Allele Security validou a falha testando-a em diferentes distribuições, incluindo o Fedora 39, e conseguiu reproduzir o erro mesmo em versões mais recentes do kernel. Para confirmar a exploração, a equipe recompilou o kernel com atrasos controlados (mdelay) e ativou ferramentas de detecção como o KASAN, que confirmou o problema.

Correção e lições aprendidas

A vulnerabilidade foi reportada à equipe upstream do Linux e corrigida em maio de 2023. A descoberta reforça a importância de auditorias contínuas e destaca como falhas críticas podem permanecer ocultas por anos, mesmo em um dos sistemas operacionais mais utilizados do mundo.

Esse caso ilustra como vulnerabilidades podem surgir de pequenos erros lógicos, que passam despercebidos até serem analisados sob diferentes perspectivas. Segundo a Allele Security, a pesquisa de segurança não depende apenas de ferramentas automatizadas, mas também de uma abordagem exploratória, onde descobertas acidentais podem revelar problemas significativos.

Para mais detalhes sobre a vulnerabilidade e sua exploração técnica, confira a publicação original da Allele Security Intelligence: