Une nouvelle faille critique vient d’être révélée dans le noyau Linux, plus précisément dans le composant nf_tables, responsable du filtrage des paquets réseau. C’est Oliver Sieber, chercheur chez Exodus Intelligence, qui a publié un exploit complet exploitant cette vulnérabilité, nommée CVE-2026-23111. La particularité de cette faille, dissimulée dans un simple caractère, est qu’elle permet à un utilisateur avec un compte sans privilèges d’obtenir les droits root sur la machine compromise, tout en lui permettant de sortir d’un conteneur si nécessaire.
Le scénario exploitant ce défaut est classique : un utilisateur disposant de permissions limitées sur un système Linux exploite la faille via un simple script ou une ligne de commande, et se retrouve avec un accès root. Ce vecteur n’est pas distant, ni basé sur une faille web, mais repose plutôt sur un compromis initial où l’attaquant dispose déjà d’un accès basique, souvent par l’exploitation d’une autre vulnérabilité. Une fois la porte ouverte, la faille permet de remonter aux privilèges les plus élevés, ce qui représente une menace sérieuse pour la sécurité des systèmes.
“Une fois la mise à jour effectuée, cette faille peut être neutralisée, surtout qu’aucune exploitation active n’a été observée à ce jour.”
Le bug lui-même est un exemple typique de use-after-free, un problème où le noyau réutilise de la mémoire déjà libérée, provoquant ainsi des erreurs de comportement voire des failles d’exécution arbitraire. Exodus a qualifié son analyse de cette vulnérabilité de “Off By !”, en référence à l’erreur classique off-by-one, mais en inversant la logique du test. La correction, étonnamment concise, tient en une seule ligne : la suppression d’un caractère ‘!’, qui inversait le test dans la fonction concernée, nft_map_catchall_activate(), simplement apportée par le commit 8fdb05de.
Cette vulnérabilité a été reproduite indépendamment par deux équipes distinctes, ayant validé la faille sur plusieurs distributions populaires telles que Debian Bookworm, Trixie, Ubuntu 22.04 et 24.04. Par ailleurs, FuzzingLabs a publié sa propre version de l’exploit dès avril, notamment sur RHEL 10, avant la présentation officielle lors du Pwn2Own de Berlin. La documentation de cette faille est accessible publiquement, et le code exploit est désormais dans la nature depuis plusieurs semaines, ce qui ne laisse que peu de possibilités pour rester vulnérable sans action rapide.
Le calendrier est particulièrement préoccupant : le patch officiel a été mis à disposition le 5 février, suivi d’une démonstration d’exploitation par FuzzingLabs en avril, puis d’un write-up détaillé par Exodus en juin. Cela signifie que pendant plusieurs mois, la faille est connue, corrigée mais encore exploitée dans l’ombre, augmentant ainsi le risque pour les systèmes non à jour. La seule barrière concrète à une escalade des privilèges est donc la mise à jour du système, que ce soit via la distribution ou manuellement, et un redémarrage.
Pour minimiser les risques, il est conseillé de mettre à jour le noyau dès que possible, car plusieurs distributions ont déjà publié des correctifs. Ubuntu a corrigé 22.04, 24.04 et la version 25.10, tandis que Debian a backporté la correction sur Bookworm et Trixie, avec une mise à jour en 6.1 pour Bullseye. Red Hat, SUSE et Amazon Linux ont également suivi cette ultime étape de sécurisation. En parallèle, il est prudent de désactiver le mécanisme de user namespaces pour limiter le vecteur d’attaque, notamment en utilisant la commande sysctl ou en modifiant les fichiers de configuration, ce qui bloque la création de nouveaux espaces de noms par des processus lambda. Cependant, cette méthode est radicale et peut impacter certains logiciels utilisant ces fonctionnalités, tels que Chrome ou Flatpak.
