L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté jeudi le 20 Octobre 2022 une faille du noyau Linux à son catalogue des vulnérabilités exploitées connues et a demandé aux agences fédérales de la corriger dans les trois semaines.

La vulnérabilité, connue sous le nom de CVE-2021-3493, est liée à l'implémentation du système de fichiers OverlayFS dans le noyau Linux. Elle permet à un utilisateur local non privilégié d'obtenir les privilèges de l'utilisateur root, mais elle ne semble affecter que Ubuntu. Les détails techniques et les exploits de type "proof-of-concept" (PoC) pour cette vulnérabilité sont disponibles publiquement.

CVE-2021-3493 a été exploité dans la nature par un malware Linux furtif nommé Shikitega, que les chercheurs d'AT&T Alien Labs ont détaillé début Septembre. Shikitega est conçu pour cibler les points d'extrémité et les appareils IoT fonctionnant sous Linux, permettant à l'attaquant de prendre le contrôle total du système. Il a également été utilisé pour télécharger un mineur de cryptocurrency sur l'appareil infecté.

Dans le cadre de la chaîne d'infection du malware, une autre vulnérabilités Linux (connue sous le nom de PwnKit CVE-2021-4034) est exploitée pour une élévation de privilèges, elle a un impact sur Pkexec de Polkit, un programme SUID-root présent dans toutes les distributions Linux. La CISA a mis en garde contre l'exploitation de cette vulnérabilité dans des attaques en juin 2022. Cisco a mentionné l'exploitation dans un rapport récent décrivant un cadre d'attaque chinois et son RAT associé, qui cible les systèmes Windows, Linux et macOS.