New Linux pedit COW Exploit Enables Root Access by Poisoning Cached Binaries

Vulnérabilité “pedit COW” : Élévation de privilèges dans le noyau Linux

Une faille critique dans le sous-système de contrôle du trafic du noyau Linux permet à un utilisateur local non privilégié d’obtenir les accès root. L’exploitation repose sur une corruption de la mémoire cache (page cache) sans modifier les fichiers sur le disque, rendant les outils de détection d’intégrité classiques inefficaces.

Points clés :

• Mécanisme : La fonction tcf_pedit_act() échoue à valider correctement les plages d’écriture lors de la modification de paquets réseau, entraînant une écriture hors limites dans la mémoire cache partagée.
• Vecteur d’attaque : L’attaquant injecte un code malveillant dans la copie en mémoire d’un binaire setuid root (ex: /bin/su) pour obtenir un shell root.
• Prérequis : L’attaque nécessite que le module act_pedit soit chargeable et que les espaces de noms utilisateur non privilégiés (unprivileged user namespaces) soient activés.

Vulnérabilité identifiée :

• CVE-2026-46331 (Score de sévérité “Important”).

Recommandations :

• Mise à jour immédiate : Installer les correctifs du noyau fournis par les distributions (Debian, RHEL, Ubuntu) et redémarrer les systèmes.
• Désactivation temporaire (si le patch est impossible) :
  • Empêcher le chargement du module act_pedit : echo 'install act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.conf.
  • Désactiver les espaces de noms utilisateur non privilégiés (via user.max_user_namespaces=0 ou kernel.unprivileged_userns_clone=0), attention toutefois aux impacts sur les conteneurs rootless.
• Réponse aux incidents : Si une compromission est suspectée, considérez l’hôte comme totalement compromis ; le simple vidage du cache (drop_caches) ne suffit pas à supprimer l’accès root déjà obtenu par l’attaquant.

Source