📅 Source : Blog Exodus Intelligence, publiĂ© le 8 juin 2026. Article de recherche technique rĂ©digĂ© par Oliver Sieber, dĂ©taillant la dĂ©couverte, l’analyse et l’exploitation d’une vulnĂ©rabilitĂ© dans le noyau Linux.

🔍 Contexte de la vulnĂ©rabilitĂ©

La vulnérabilité CVE-2026-23111 a été découverte début 2025 dans le sous-systÚme nftables du noyau Linux. Elle a été corrigée en amont le 5 février 2026. Une seconde vulnérabilité connexe, CVE-2026-23278, est également mentionnée mais hors scope de cet article.

🐛 Nature de la vulnĂ©rabilitĂ©

Il s’agit d’un use-after-free causĂ© par une logique incorrecte dans la fonction nft_map_catchall_activate(). Lors de l’annulation (abort) d’un batch de transactions nftables :

  • Un Ă©lĂ©ment catchall d’une verdict map de type pipapo est dĂ©sactivĂ© lors de la suppression du set
  • La fonction de rĂ©activation nft_map_catchall_activate() ignore incorrectement les Ă©lĂ©ments inactifs (Ă  cause d’un opĂ©rateur ! mal placĂ©)
  • Le compteur de rĂ©fĂ©rences de la chaĂźne cible reste Ă  zĂ©ro bien qu’une rĂ©fĂ©rence valide existe encore
  • La chaĂźne peut alors ĂȘtre supprimĂ©e, crĂ©ant un pointeur dangling exploitable

đŸ’„ Exploitation

L’exploit rĂ©alise une Ă©lĂ©vation de privilĂšges locale (LPE) d’un utilisateur non privilĂ©giĂ© vers root sur :

  • Debian Bookworm
  • Debian Trixie
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS

Les Ă©tapes d’exploitation sont :

  1. DĂ©clenchement de la vulnĂ©rabilitĂ© via 4 batches de transactions nftables (nĂ©cessite la crĂ©ation d’un namespace rĂ©seau)
  2. Fuite de l’adresse base du noyau : reclaim du chunk libĂ©rĂ© avec une structure seq_operations contenant des pointeurs de fonctions noyau, lus via NFT_MSG_GETRULE
  3. Fuite d’adresses heap : reclaim avec des objets nft_rule dont les membres list_head (prev/next) sont lus de la mĂȘme façon
  4. DĂ©tournement du flux de contrĂŽle : pivot de pile via des gadgets ROP, appel Ă  commit_creds(&init_cred), __rcu_read_unlock(), et switch_task_namespaces() pour obtenir les privilĂšges root et sortir de l’isolation de namespace

📊 StabilitĂ©

  • StabilitĂ© >99% sur systĂšme idle
  • StabilitĂ© ~80% sous charge intensive (benchmark Apache via Phoronix Test Suite)
  • Techniques de context conservation utilisĂ©es pour amĂ©liorer la fiabilitĂ©

📌 Type d’article

Publication de recherche technique offensive. But principal : documenter la dĂ©couverte, l’analyse de code et la chaĂźne d’exploitation complĂšte d’une vulnĂ©rabilitĂ© noyau Linux pour la communautĂ© CTI et sĂ©curitĂ©.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1574 — Hijack Execution Flow (Defense Evasion)

IOC

  • CVEs : CVE-2026-23111 — NVD · CIRCL
  • CVEs : CVE-2026-23278 — NVD · CIRCL
  • Chemins : /proc/self/stat

🟡 Indice de vĂ©rification factuelle : 50/100 (moyenne)

  • ⬜ blog.exodusintel.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 37154 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vĂ©rifiĂ© (0pts)
  • ✅ 3 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ 0/2 CVE(s) confirmĂ©e(s) (0pts)

🔗 Source originale : https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/