GhostLock cette faille Linux vieille de 15 ans offre un acces root sur la majorite des distributions
  • 9 juillet 2026
  • ComputaSYS
  • 0


Une faille présente dans le noyau Linux depuis 2011, soit 15 ans, permet à n’importe quel utilisateur local de prendre le contrôle total d’une machine. Son nom : GhostLock (CVE-2026-43499). Quels sont les risques ? Comment protéger sa machine Linux ? Faisons le point.

GhostLock, une faille de type use-after-free dans le noyau Linux

D’après le rapport publié par Nebula Security, GhostLock se loge dans les verrous du noyau Linux, ces mécanismes qui font patienter un programme tant qu’un autre utilise une ressource. Le noyau en propose une variante dite à héritage de priorité, conçue pour éviter qu’une tâche urgente reste bloquée derrière une tâche secondaire. C’est là, dans le code des futex et des rtmutex, que se situe cette vulnérabilité.

Note : un futex (fast userspace mutex) est le verrou standard de Linux, optimisé pour ne solliciter le noyau que lorsqu’un programme doit réellement attendre son tour. Un rtmutex en est la déclinaison temps réel : lorsqu’un thread urgent est bloqué par un thread moins prioritaire qui détient le verrou, le noyau relève temporairement la priorité de ce dernier pour qu’il libère le verrou au plus vite, puis la lui retire dès que c’est fait.

La faille GhostLock est de type use-after-free, ce qui correspond à l’utilisation d’une zone de mémoire que le noyau a déjà libérée. Comment se déclenche cette vulnérabilité ? Quand une tâche cesse d’attendre un verrou, le noyau fait le ménage derrière elle. Mais dans un cas rare (où le noyau détecte un interblocage et doit annuler l’opération), ce ménage part au mauvais moment et efface les traces de la mauvaise tâche. Le noyau se retrouve alors avec une adresse mémoire périmée, qui pointe vers une zone déjà libérée et réattribuée à autre chose. Selon les chercheurs de Nebula, c’est en faisant confiance à cette adresse fantôme que l’exploitation devient possible. Ce qui explique aussi le choix du nom : GhostLock.

Cette faille de sécurité, associée à un score CSS de 7.8 sur 10, risque d’impacter énormément de machines Linux. Et pour cause :

Le code vulnérable est présent depuis Linux 2.6.39 (2011) et n’a été corrigé que dans Linux 7.1, en avril 2026.

La faille est présente dans la configuration par défaut de la quasi-totalité des distributions grand public.

Un accès à la machine depuis un utilisateur local suffit pour exploiter la faille via des appels de threading depuis n’importe quel programme local suffisent.

La seule condition côté noyau est l’option CONFIG_FUTEX_PI=y, sans capacité ni espace de noms utilisateur nécessaire.

“GhostLock (CVE-2026-43499) est une vulnérabilité du noyau Linux découverte par VEGA et présente dans toutes les principales distributions depuis 2011.”, précisent le rapport de Nebula. Si vous vous demandez ce qu’est VEGA, voici la réponse : il s’agit de l’outil de bug bounty piloté par IA de chez Nebula.

Un exploit fiable à 97 % sur Linux

L’équipe de Nebula a créé GhostLock en un exploit fonctionnel, fiable à 97 % lors des tests effectués par les chercheurs. Grâce à cet exploit, ils sont parvenus à obtenir les droits root en environ 5 secondes sur une machine de tests, et cet exploit permet également de s’échapper des conteneurs. Une belle trouvaille qui a permis à Nebula d’obtenir une prime de 92 337 dollars via le programme kernelCTF de Google.

Alors même si cette faille n’est pas encore exploitée, cela peut rapidement évoluer : le code d’exploitation (PoC) est disponible sur GitHub. N’importe qui peut le récupérer et l’utiliser.

Le rapport publié par Nebula s’intitule “IonStack part II”, donc je me suis demandé à quoi correspondait la partie I. En réalité, la première partie correspond à une autre vulnérabilité référencée comme la CVE-2026-10702. C’est une faille découverte dans le moteur JavaScript de Firefox (bulletin Mozilla MFSA 2026-54) : une page malveillante peut s’en servir pour exécuter du code dans le navigateur et sortir de la sandbox. Cette vulnérabilité a été corrigée dans Firefox 151.0.3 le 2 juin 2026. Dans le cas d’une chaine d’exploitation complète, GhostLock prendrait le relais pour obtenir les droits root.

Selon The Hacker News, Nebula aurait déjà démontré la chaîne complète, en partant d’un simple clic sur un lien malveillant menant jusqu’au contrôle total, en exploitant Firefox sur Android. Le writeup publié par Nebula annonce d’ailleurs un prochain article dédié à l’exploitation de GhostLock sur Android.

La consigne est simple : mettre à jour le noyau, mais en vérifiant que la version installée est bien la plus récente dans le canal Security de votre distribution. Le premier correctif publié (commit 3bfdc63936dd) a en effet introduit un nouveau bug pouvant faire planter la machine, référencé CVE-2026-53166. Sa résolution n’était pas encore stabilisée au début du mois de juillet, ce qui signifie que certains paquets marqués comme corrigés ne le sont pas vraiment.

Du côté de Debian, la faille de sécurité GhostLock a été corrigée via la mise à jour du noyau 6.12.95-1, sauf que la CVE-2026-53166 n’est pas encore corrigée ! Cela correspond bien à ce que j’évoquais précédemment. Pour le moment, le patch est donc partiel.

La mauvaise nouvelle, d’après ce que j’ai compris, c’est que le patch de sécurité est la seule véritable issue pour se protéger de cette faille de sécurité. Il n’est pas envisageable de désactiver un quelconque module noyau pour se protéger de GhostLock. Donc, il va falloir surveiller les patchs de sécurité des différentes distributions Linux.

Si vous avez des informations pour d’autres distributions, n’hésitez pas à commenter cet article.

Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *