Linux

🔍 Contexte Publié le 8 mai 2026 sur GitHub par le chercheur Hyunwoo Kim (@v4bel), ce write-up technique détaille Dirty Frag, une classe de vulnérabilités Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux en chaînant deux primitives d’écriture arbitraire en page cache. 🧩 Vulnérabilités impliquées Dirty Frag repose sur deux vulnérabilités distinctes : CVE-2026-43284 — xfrm-ESP Page-Cache Write : Dans esp_input(), lorsqu’un skb non-linéaire sans frag_list est traité, le code contourne skb_cow_data() et effectue un déchiffrement AEAD en place directement sur la page cache. Via splice(), un attaquant peut planter une page cache en lecture seule dans le frag du skb. La fonction crypto_authenc_esn_decrypt() effectue un STORE de 4 octets contrôlés (via seq_hi de l’attribut XFRMA_REPLAY_ESN_VAL) à un offset de fichier choisi. L’authentification AEAD échoue mais le STORE est déjà persisté. Nécessite CAP_NET_ADMIN (user namespace suffisant). ...

🗓️ Contexte Article publié le 1er mai 2026 sur Ars Technica par Dan Goodin. L’article couvre une panne majeure de l’infrastructure d’Ubuntu et de sa maison mère Canonical, survenue le jeudi précédant la publication. 💥 Incident principal Les serveurs d’Ubuntu et de Canonical ont été mis hors ligne suite à une attaque DDoS soutenue et transfrontalière, selon la page de statut officielle de Canonical. La panne dure depuis plus de 24 heures au moment de la publication. ...

🔍 Contexte Publié le 3 mai 2026 sur GitHub (dépôt wgnet/wg.copyfail.patch), cet article présente un workaround eBPF pour la vulnérabilité CVE-2026-31431, surnommée Copy.Fail, affectant le noyau Linux. 🐛 Description de la vulnérabilité La CVE-2026-31431 permet à un utilisateur autorisé de modifier le cache d’une copie de tout fichier lisible, ce qui entraîne : Local Privilege Escalation (LPE) — élévation de privilèges locale jusqu’à root Échappement de sandbox/conteneur D’autres impacts liés à l’intégrité du système de fichiers L’exploitation repose sur la création d’une socket AF_ALG, fournie par les modules noyau algif*. ...

🔍 Contexte Source : dépôt GitHub public Neo23x0/auditd, publié le 3 mai 2026. Il s’agit d’un projet open source sous licence Apache-2.0, activement maintenu, avec 1 800 étoiles et 302 forks. 🛠️ Description du projet Le projet fournit une configuration auditd de référence (best-practice) pour les distributions Linux majeures. L’objectif est de collecter une télémétrie de sécurité large et réutilisable, sans intégrer la logique de détection directement dans les règles auditd. ...

🔍 Contexte Sophos X-Ops a publié le 24 avril 2026 une analyse technique d’une double attaque de type supply chain survenue le 22 avril 2026, ciblant simultanément deux outils largement utilisés dans les environnements de développement : Checkmarx KICS (scanner de sécurité IaC) et Bitwarden CLI (gestionnaire de mots de passe en ligne de commande). 🎯 Incident 1 : Checkmarx KICS Un attaquant a poussé des artefacts malveillants sur trois canaux de distribution officiels : ...

🗓️ Contexte Article publié le 23 avril 2026 par Sebastian Wick (mainteneur de Flatpak) sur son blog personnel. L’article constitue un post-mortem technique détaillé d’une vulnérabilité critique découverte dans Flatpak suite à un audit de sécurité réalisé par Codean Labs. 🔍 Problème fondamental L’article expose une classe de vulnérabilités liées à la gestion des chemins de fichiers dans les systèmes avec frontières de sécurité. Le problème central est que les chaînes de chemin (path strings) ne sont pas des références stables à des fichiers : entre le moment où un chemin est vérifié et celui où il est utilisé, le système de fichiers peut être modifié. Cette classe d’attaque est connue sous le nom de TOCTOU (Time-Of-Check to Time-Of-Use). ...

📅 Source : Blog officiel d’Objective Development (obdev.at), publié le 8 avril 2026 par Christian. 🔍 Contexte Face aux préoccupations croissantes sur la dépendance aux logiciels contrôlés par des entités étrangères, le développeur de Little Snitch (macOS) a exploré Linux comme alternative. Constatant l’absence d’outil équivalent à Little Snitch sur Linux, il a décidé de le construire. ⚙️ Architecture technique Interception du trafic : eBPF au niveau kernel (haute performance, portable) Backend : écrit en Rust Interface utilisateur : application web (permet la surveillance à distance depuis n’importe quel appareil) Compatibilité : développé sur Ubuntu 25.10 avec kernel 6.17, confirmé fonctionnel sur kernel 6.12+. Compatibilité théorique jusqu’au kernel 5.17 (introduction de bpf_loop()), couvrant Debian 12 et Ubuntu 24.04 LTS. 🔓 Modèle open source ...

🔍 Contexte Analyse publiée le 20 mars 2026 par Xavier Mertens (ISC SANS Handler) suite à la découverte d’un script Bash malveillant installant un backdoor basé sur GSocket/gs-netcat. Le vecteur de livraison initial est inconnu. Le sample a été identifié sur VirusTotal avec seulement 17 détections antivirus. 🛠️ Fonctionnement du malware GSocket est un outil réseau légitime permettant des communications pair-à-pair via un réseau de relais global, en utilisant un secret partagé plutôt que des adresses IP. L’outil gs-netcat est détourné ici pour fournir un shell distant et un canal C2. ...

Source : Black Hills Information Security (blog) — Dans un billet daté du 4 mars 2026, Ben Bowman présente une technique de persistance Linux exploitant le framework PAM et dévoile l’outil open source « PAM Skeleton Key » destiné aux tests d’intrusion (Red Team). L’auteur explique que PAM gère l’authentification pour des services comme SSHD, recevant les identifiants en clair pour appliquer des politiques définies (ex. /etc/pam.d/sshd). En substituant un module PAM par une version malveillante, il devient possible d’implanter un mot de passe universel (skeleton key) pour tous les comptes et de capturer les identifiants avant chiffrement, puis de les exfiltrer. ...

Dans une publication technique, l’auteur dissèque le module sysrq_hook.c du rootkit LKM Singularity (ciblant Linux 6.x) et montre comment il intercepte les routines de diagnostic du noyau — Magic SysRq et le chemin OOM — pour empêcher l’affichage de processus cachés directement dans le buffer de logs kernel. Le texte rappelle que Magic SysRq (par /proc/sysrq-trigger ou Alt+SysRq+<touche>) exécute des diagnostics entièrement côté noyau et écrit via printk() dans le ring buffer, échappant aux hooks usuels sur /proc ou getdents. Les commandes SysRq-T (état des tâches) et SysRq-F (chemin OOM) produisent des listes de processus directement depuis la mémoire kernel. Des rootkits LKM connus comme Kovid ou diamorphine, qui se contentent d’intercepter filldir*/getdents et parfois des lectures de dmesg, se font contourner: des PIDs « cachés » réapparaissent dans les sorties SysRq-T et OOM, car les données sont déjà imprimées dans le ring buffer avant toute filtration en espace utilisateur. ...