Pas mal comme article, il met bien en lumière un problème qu’on sous-estime parfois : la persistance des attaques sur des noyaux Linux obsolètes. Pumakit est un bon exemple de ce qui peut arriver quand on ne met pas ses systèmes à jour, surtout dans les environnements critiques.
Le truc intéressant, c’est l’utilisation de kallsyms_lookup_name(), une fonction qui semble être l’épine dorsale de plusieurs attaques. C’est impressionnant, mais ça montre aussi à quel point il est vital de passer à des noyaux plus récents (post 5.7). D’ailleurs, ftrace pour le hooking de syscall, c’est brillant, mais flippant ! Ça illustre bien la montée en sophistication des attaques actuelles.
Pour la détection, les règles YARA proposées par Elastic Security, c’est top, mais ça implique de surveiller activement ses systèmes avec les bons outils. Ce serait une bonne idée de creuser ça, notamment pour les SISR. La surveillance est au programme SISR.
Et pour ceux qui se posent la question, vérifier la version de son noyau Linux est super simple. Vous pouvez utiliser la commande :
uname -r
Sur ma machine (décrite dans ma signature) par exemple, ça renvoie :
5.15.0-128-generic
Ça vous donne directement la version de votre noyau. Si vous voulez encore plus de détails, regardez dans le fichier /proc/version avec :
cat /proc/version
qui donne par exemple sur ma machine :
Linux version 5.15.0-128-generic (buildd@lcy02-amd64-108) (gcc (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0, GNU ld (GNU Binutils for Ubuntu) 2.38) #138-Ubuntu SMP Sat Nov 30 22:28:23 UTC 2024
En parlant de ça, l'article rappelle bien l'importance de garder ses noyaux à jour. Si votre noyau est en dessous de la version 5.7, c’est clairement le moment de vous poser des questions, parce que les fonctions exploitées par Pumakit, comme kallsyms_lookup_name(), ne sont plus disponibles dans les noyaux récents (on est au noyau 5.15 sur les versions LTS quand même... la preuve avec les retours ci-dessus de ma machine). Et ce n’est pas seulement pour Pumakit : les mises à jour de noyaux corrigent des failles constamment, donc ne les négligez pas, même sur un serveur ou un poste "qui marche bien".
Je ne rappelle pas l'intérêt des mises à jour, hein, je vous saoule bien assez avec, il me semble ?
Le truc intéressant, c’est l’utilisation de kallsyms_lookup_name(), une fonction qui semble être l’épine dorsale de plusieurs attaques. C’est impressionnant, mais ça montre aussi à quel point il est vital de passer à des noyaux plus récents (post 5.7). D’ailleurs, ftrace pour le hooking de syscall, c’est brillant, mais flippant ! Ça illustre bien la montée en sophistication des attaques actuelles.
Pour la détection, les règles YARA proposées par Elastic Security, c’est top, mais ça implique de surveiller activement ses systèmes avec les bons outils. Ce serait une bonne idée de creuser ça, notamment pour les SISR. La surveillance est au programme SISR.
Et pour ceux qui se posent la question, vérifier la version de son noyau Linux est super simple. Vous pouvez utiliser la commande :
uname -r
Sur ma machine (décrite dans ma signature) par exemple, ça renvoie :
5.15.0-128-generic
Ça vous donne directement la version de votre noyau. Si vous voulez encore plus de détails, regardez dans le fichier /proc/version avec :
cat /proc/version
qui donne par exemple sur ma machine :
Linux version 5.15.0-128-generic (buildd@lcy02-amd64-108) (gcc (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0, GNU ld (GNU Binutils for Ubuntu) 2.38) #138-Ubuntu SMP Sat Nov 30 22:28:23 UTC 2024
En parlant de ça, l'article rappelle bien l'importance de garder ses noyaux à jour. Si votre noyau est en dessous de la version 5.7, c’est clairement le moment de vous poser des questions, parce que les fonctions exploitées par Pumakit, comme kallsyms_lookup_name(), ne sont plus disponibles dans les noyaux récents (on est au noyau 5.15 sur les versions LTS quand même... la preuve avec les retours ci-dessus de ma machine). Et ce n’est pas seulement pour Pumakit : les mises à jour de noyaux corrigent des failles constamment, donc ne les négligez pas, même sur un serveur ou un poste "qui marche bien".
Je ne rappelle pas l'intérêt des mises à jour, hein, je vous saoule bien assez avec, il me semble ?
[Système d'exploitation : Linux Mint 21.3] - [RAM : 15.34 GB]
[Processeur : 11th Gen Intel® Core™ i5-1135G7 @ 2.40GHz - 4 cœurs physiques]
[Disque dur : SSD 980 PRO 2TB(1,8T)]
[Carte graphique : Intel Corporation TigerLake-LP GT2 [Iris Xe Graphics] (rev 01)]
[Processeur : 11th Gen Intel® Core™ i5-1135G7 @ 2.40GHz - 4 cœurs physiques]
[Disque dur : SSD 980 PRO 2TB(1,8T)]
[Carte graphique : Intel Corporation TigerLake-LP GT2 [Iris Xe Graphics] (rev 01)]
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
