15-Year-Old GhostLock Flaw Enables Root and Container Escape on Most Linux Distros

1 minute de lecture

Mis à jour :

Vulnérabilité GhostLock : Un risque d’escalade de privilèges sous Linux

Une faille critique, baptisée GhostLock, affecte le noyau Linux depuis 2011. Elle permet à un utilisateur local d’obtenir les privilèges « root » et de s’échapper de conteneurs. Bien que classée comme une vulnérabilité de niveau local, sa dangerosité est démultipliée lorsqu’elle est utilisée dans le cadre de chaînes d’attaques plus complexes, comme l’exploit IonStack (combinant une faille de navigateur et GhostLock).

Points clés :

  • Nature de la faille : Il s’agit d’une vulnérabilité de type use-after-free située dans la gestion de la priorité des tâches du noyau (futex priority inheritance).
  • Impact : Une exploitation réussie permet une prise de contrôle totale de la machine avec des privilèges root, avec un taux de réussite de 97 %.
  • Accessibilité : Le code d’exploitation (exploit) est désormais public, ce qui augmente considérablement le risque pour les systèmes non patchés.
  • Contexte : Identifiée par l’outil d’analyse automatisé VEGA, cette faille démontre la vulnérabilité persistante des composants du noyau vieillissants.

Vulnérabilités identifiées :

  • CVE-2026-43499 (GhostLock) : La faille principale d’escalade de privilèges.
  • CVE-2026-53166 : Un bug de crash introduit lors de la première tentative de correction de GhostLock.

Recommandations :

  • Mise à jour prioritaire : Appliquer les correctifs du noyau fournis par les distributions Linux. Il est crucial d’installer la version la plus récente, car les correctifs initiaux étaient incomplets et comportaient des effets secondaires (CVE-2026-53166).
  • Ciblage : Prioriser la mise à jour des serveurs mutualisés, des environnements cloud, des conteneurs et des CI runners, où le risque d’accès initial est plus élevé.
  • Atténuation : Bien que non exhaustives, l’activation des options de compilation RANDOMIZE_KSTACK_OFFSET et STATIC_USERMODE_HELPER peut rendre l’exploitation plus complexe.
  • Vérification : Ne pas se contenter d’une mise à jour automatique ; vérifier spécifiquement les avis de sécurité de votre distribution pour confirmer l’intégration du correctif final.

Source