Linux

🔍 Contexte Publié le 3 juin 2026 par Vincent Li (FortiGuard Labs), cet article présente l’analyse technique détaillée de C0XMO, un nouveau variant du botnet Gafgyt découvert en mars 2026. La cible initiale était une entreprise technologique japonaise, mais l’adresse IP source de l’attaque a été tracée en Allemagne. 🎯 Vecteur d’infection initial Le malware se propage en exploitant CVE-2021-27137, un stack buffer overflow dans le service UPnP des firmwares DD-WRT antérieurs au changeset 45723. La vulnérabilité est déclenchée via des requêtes M-SEARCH malformées envoyées sur le port UDP 1900, exploitant une mauvaise gestion des valeurs ST:uuid: surdimensionnées par le parseur SSDP. ...

🔍 Contexte Publié le 30 mai 2026 sur BleepingComputer, cet article rapporte la divulgation d’une vulnérabilité locale d’élévation de privilèges dans le noyau Linux, nommée CIFSwitch, découverte par Asim Viladi Oglu Manizada, ingénieur sécurité chez SpaceX. 🧩 Mécanisme de la vulnérabilité Le sous-système CIFS du noyau Linux ne vérifie pas que les requêtes de clé cifs.spnego proviennent bien du client CIFS du noyau. Un utilisateur non privilégié peut ainsi : Créer une requête cifs.spnego forgée pour déclencher le workflow d’authentification normal Abuser du helper cifs.upcall (exécuté en root) qui fait confiance aux champs contrôlés par l’attaquant Forcer un changement de namespace, puis déclencher une résolution NSS (Name Service Switch) avant l’abandon des privilèges Charger un module NSS malveillant pour obtenir une exécution de code en root 📦 Versions et distributions affectées La faille a été introduite en 2007 et affecte les combinaisons vulnérables du noyau CIFS et de cifs-utils (versions 6.14 et supérieures, ainsi que certaines versions antérieures). Les distributions confirmées vulnérables dans leur configuration par défaut incluent : ...

🔍 Contexte Publié le 27 mai 2026 par Asim Viladi Oglu Manizada sur son blog personnel, cet article détaille la découverte et l’exploitation d’une vulnérabilité d’élévation de privilèges locale (LPE) baptisée CIFSwitch, affectant le noyau Linux et le paquet cifs-utils. La découverte a été facilitée par l’utilisation d’agents LLM. 🐛 Description de la vulnérabilité La vulnérabilité repose sur une chaîne de bugs logiques à l’intersection du module noyau CIFS et du helper userspace cifs.upcall fourni par cifs-utils : ...

🗓️ Contexte Article publié le 20 mai 2026 par Picus Security (picussecurity.com), rédigé par Umut Bayram. Il s’agit d’une analyse technique approfondie de la classe de vulnérabilités Dirty Frag, découverte et rapportée par Hyunwoo Kim (@v4bel), divulguée le 7 mai 2026. 🔍 Description de Dirty Frag Dirty Frag est une classe de vulnérabilités du noyau Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux. Elle repose sur l’enchaînement de deux vulnérabilités distinctes qui exploitent le mécanisme de zero-copy via splice() pour injecter une référence à une page du page cache en lecture seule dans un fragment (frag) d’un sk_buff, que le noyau modifie ensuite lors du traitement cryptographique en place. ...

🔍 Contexte Publié le 15 mai 2026 sur GitHub par le compte 0xdeadbeefnetwork, le dépôt ssh-keysign-pwn met à disposition un proof-of-concept (PoC) fonctionnel exploitant une vulnérabilité du noyau Linux. Le bug a été rapporté par Qualys et corrigé par Linus Torvalds le 2026-05-14 (commit 31e62c2ebbfd). Jann Horn avait identifié la forme de vol de descripteur de fichier dès octobre 2020, soit six ans avant le correctif. 🐛 Vulnérabilité exploitée La faille réside dans __ptrace_may_access() : lorsque task->mm == NULL, la vérification dumpable est ignorée. Durant do_exit(), exit_mm() s’exécute avant exit_files(), créant une fenêtre temporelle où le processus n’a plus de mm mais conserve ses descripteurs de fichiers ouverts. pidfd_getfd(2) réussit dans cette fenêtre si l’UID de l’appelant correspond à celui de la cible. ...

🔍 Contexte Publié le 8 mai 2026 sur GitHub par le chercheur Hyunwoo Kim (@v4bel), ce write-up technique détaille Dirty Frag, une classe de vulnérabilités Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux en chaînant deux primitives d’écriture arbitraire en page cache. 🧩 Vulnérabilités impliquées Dirty Frag repose sur deux vulnérabilités distinctes : CVE-2026-43284 — xfrm-ESP Page-Cache Write : Dans esp_input(), lorsqu’un skb non-linéaire sans frag_list est traité, le code contourne skb_cow_data() et effectue un déchiffrement AEAD en place directement sur la page cache. Via splice(), un attaquant peut planter une page cache en lecture seule dans le frag du skb. La fonction crypto_authenc_esn_decrypt() effectue un STORE de 4 octets contrôlés (via seq_hi de l’attribut XFRMA_REPLAY_ESN_VAL) à un offset de fichier choisi. L’authentification AEAD échoue mais le STORE est déjà persisté. Nécessite CAP_NET_ADMIN (user namespace suffisant). ...

🗓️ Contexte Article publié le 1er mai 2026 sur Ars Technica par Dan Goodin. L’article couvre une panne majeure de l’infrastructure d’Ubuntu et de sa maison mère Canonical, survenue le jeudi précédant la publication. 💥 Incident principal Les serveurs d’Ubuntu et de Canonical ont été mis hors ligne suite à une attaque DDoS soutenue et transfrontalière, selon la page de statut officielle de Canonical. La panne dure depuis plus de 24 heures au moment de la publication. ...

🔍 Contexte Publié le 3 mai 2026 sur GitHub (dépôt wgnet/wg.copyfail.patch), cet article présente un workaround eBPF pour la vulnérabilité CVE-2026-31431, surnommée Copy.Fail, affectant le noyau Linux. 🐛 Description de la vulnérabilité La CVE-2026-31431 permet à un utilisateur autorisé de modifier le cache d’une copie de tout fichier lisible, ce qui entraîne : Local Privilege Escalation (LPE) — élévation de privilèges locale jusqu’à root Échappement de sandbox/conteneur D’autres impacts liés à l’intégrité du système de fichiers L’exploitation repose sur la création d’une socket AF_ALG, fournie par les modules noyau algif*. ...

🔍 Contexte Source : dépôt GitHub public Neo23x0/auditd, publié le 3 mai 2026. Il s’agit d’un projet open source sous licence Apache-2.0, activement maintenu, avec 1 800 étoiles et 302 forks. 🛠️ Description du projet Le projet fournit une configuration auditd de référence (best-practice) pour les distributions Linux majeures. L’objectif est de collecter une télémétrie de sécurité large et réutilisable, sans intégrer la logique de détection directement dans les règles auditd. ...

🔍 Contexte Sophos X-Ops a publié le 24 avril 2026 une analyse technique d’une double attaque de type supply chain survenue le 22 avril 2026, ciblant simultanément deux outils largement utilisés dans les environnements de développement : Checkmarx KICS (scanner de sécurité IaC) et Bitwarden CLI (gestionnaire de mots de passe en ligne de commande). 🎯 Incident 1 : Checkmarx KICS Un attaquant a poussé des artefacts malveillants sur trois canaux de distribution officiels : ...