Source: CIQ (blog) publie une démonstration pratique et une analyse de la vulnérabilité CVE-2025-4598 affectant systemd-coredump, encore non corrigée par défaut sur Enterprise Linux 9 (EL9), et détaille pourquoi Rocky Linux from CIQ – Hardened (RLC‑H) la bloque via des défenses en profondeur.

Le billet explique que la faille, un problème lié à la gestion des coredumps par systemd-coredump, permet à un attaquant disposant d’un accès local non privilégié d’obtenir en quelques secondes des données sensibles provenant de processus privilégiés qui crashent (ex. hachages de mots de passe, clés cryptographiques). L’exposition dépend de la configuration: sur EL9 (et Fedora/EL10 selon leur configuration), systemd-coredump est actif via kernel.core_pattern et fs.suid_dumpable≠0, alors qu’EL7/8 ne sont pas exposés par défaut. Fedora a corrigé rapidement, Oracle a publié un correctif dès la divulgation, mais EL9 reste vulnérable par défaut au moment de l’article.

CIQ souligne que l’exploitation est fiable et rapide: il suffit de provoquer un core dump par signal, de forcer la réutilisation de PID (via newgrp en SUID root sur EL9) et de gagner la course pour lire des dumps qui deviennent accessibles à l’utilisateur. L’impact inclut la récupération de hachages issus de /etc/shadow via unix_chkpwd, et potentiellement de matériel sensible dans des démons comme sshd-session et sd-pam. Bien que Red Hat et systemd évaluent la faille à CVSS 4.7 (Medium), CIQ estime que la sévérité pratique est plus élevée sur EL9 compte tenu des défauts.

Des démonstrations montrent un Rocky Linux 9.6 « vanilla » compromis en <5 s, avec deux mots de passe faibles craqués rapidement. CIQ compare aussi les choix de sécurité: EL9.6 utilise sha512crypt (100k rounds) et accepte encore des mots de passe du Top 10k, tandis que RLC-H impose une politique de mots de passe plus stricte (passwdqc) et un hachage yescrypt, bien plus coûteux à casser et peu adapté au GPU. Sur RLC-H, l’exploit échoue par défaut (fs.suid_dumpable=0, accès SUID restreint), et ne réussit qu’après désactivation volontaire de protections.

Le billet mentionne d’autres couches de défense intégrées ou disponibles: durcissements sysctl, restrictions SUID, politiques et hachage renforcés; possibilité de bloquer totalement l’invocation de systemd-coredump via Linux Kernel Runtime Guard (LKRG) en mode « paranoïaque » (au prix d’effets de bord); contributions SIG/Security pour des montages DIY; correctif attendu en amont et dans Rocky, et patchs fournis pour les produits 9.x LTS et via le dépôt FastTrack. Article de type analyse/rapport visant à démontrer la sévérité pratique de la vulnérabilité et l’efficacité des mitigations RLC-H.

IOCs: aucun indiqué

TTPs observés/décrits:

  • Exploitation locale avec compte non privilégié pour provoquer des core dumps par signaux
  • Forçage de la réutilisation de PID (via newgrp SUID root sur EL9) pour gagner la course dans systemd-coredump
  • Exfiltration de données sensibles depuis les dumps (hachages /etc/shadow via unix_chkpwd, clés; cibles possibles: sshd-session, sd-pam)
  • Abus de configuration par défaut (kernel.core_pattern vers systemd-coredump + fs.suid_dumpable≠0)
  • Contournement des protections lorsqu’elles sont affaiblies (désactivation de durcissements RLC-H)

⚠️ Produits/versions concernés: EL9 (par défaut), Fedora (corrigé), EL10 (exposition selon configuration, adoption naissante), EL7/8 non exposés par défaut; RLC-H met en place des mitigations bloquantes.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation locale avec compte non privilégié pour provoquer des core dumps par signaux’, ‘Forçage de la réutilisation de PID (via newgrp SUID root sur EL9) pour gagner la course dans systemd-coredump’, ‘Exfiltration de données sensibles depuis les dumps (hachages /etc/shadow via unix_chkpwd, clés; cibles possibles: sshd-session, sd-pam)’, ‘Abus de configuration par défaut (kernel.core_pattern vers systemd-coredump + fs.suid_dumpable≠0)’, ‘Contournement des protections lorsqu’elles sont affaiblies (désactivation de durcissements RLC-H)’]

IOC

aucun indiqué

🔗 Source originale : https://ciq.com/blog/the-real-danger-of-systemd-coredump-cve-2025-4598/