الثغرات ›

CVE-2021-22600

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Linux Kernel Privilege Escalation Vulnerability — Linux Kernel contains a flaw in the packet socket (AF_PACKET) implementation which could lead to incorrectly freeing memory. A local user could exploi

                    نُشر: Apr 11, 2022                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2021-22600 is a critical Linux kernel privilege escalation vulnerability in the AF_PACKET socket implementation affecting kernel versions prior to 5.10.16. A local attacker can exploit improper memory management to achieve privilege escalation or trigger denial-of-service conditions. With publicly available exploits and widespread Linux deployment across Saudi infrastructure, immediate patching is essential to prevent unauthorized system compromise.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 20, 2026 01:18

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses critical risk to Saudi government agencies (NCA, NCSC infrastructure), ARAMCO energy operations, SAMA banking systems, STC telecommunications infrastructure, and healthcare providers relying on Linux-based servers. The privilege escalation capability enables attackers to move from low-privilege processes to root access, compromising critical infrastructure, financial systems, and sensitive government networks. Organizations running unpatched Linux kernels on production servers face immediate risk of system takeover and data exfiltration.

🏢 القطاعات السعودية المتأثرة

Government (NCA, NCSC) Banking (SAMA regulated institutions) Energy (ARAMCO, oil & gas) Telecommunications (STC, Mobily) Healthcare Critical Infrastructure Defense

🎯 تقنيات MITRE ATT&CK

T1548.004 - Abuse Elevation Control Mechanism: Linux and Mac File Permissions Modification T1548 - Abuse Elevation Control Mechanism T1053 - Scheduled Task/Job T1543 - Create or Modify System Process T1611 - Escape to Host

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Linux systems running kernel versions prior to 5.10.16 using 'uname -r' command across infrastructure

2. Prioritize patching for systems with local user access or multi-tenant environments

3. Implement temporary access controls restricting local user privileges until patching completes



PATCHING GUIDANCE:

1. Update Linux kernel to version 5.10.16 or later immediately

2. For RHEL/CentOS: Execute 'yum update kernel' and reboot systems

3. For Ubuntu/Debian: Execute 'apt-get update && apt-get install linux-image-generic' and reboot

4. For SUSE: Execute 'zypper update kernel-default' and reboot

5. Verify patch application with 'uname -r' post-reboot



COMPENSATING CONTROLS (if immediate patching unavailable):

1. Disable AF_PACKET socket usage via sysctl if not required for operations

2. Restrict local user shell access using PAM and SSH configuration

3. Implement kernel module blacklisting for packet socket if feasible

4. Monitor system logs for suspicious privilege escalation attempts



DETECTION RULES:

1. Monitor for unexpected root process spawning from unprivileged user sessions

2. Alert on failed privilege escalation attempts in audit logs

3. Track kernel panic events and system crashes

4. Monitor /proc/sys/net/packet for unusual socket activity

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع أنظمة Linux التي تعمل بإصدارات نواة سابقة للإصدار 5.10.16 باستخدام أمر 'uname -r' عبر البنية التحتية

2. إعطاء الأولوية لتصحيح الأنظمة التي تحتوي على وصول المستخدم المحلي أو بيئات متعددة المستأجرين

3. تطبيق ضوابط وصول مؤقتة تقيد امتيازات المستخدم المحلي حتى اكتمال التصحيح

إرشادات التصحيح:

1. تحديث نواة Linux إلى الإصدار 5.10.16 أو أحدث فورًا

2. لـ RHEL/CentOS: تنفيذ 'yum update kernel' وإعادة تشغيل الأنظمة

3. لـ Ubuntu/Debian: تنفيذ 'apt-get update && apt-get install linux-image-generic' وإعادة التشغيل

4. لـ SUSE: تنفيذ 'zypper update kernel-default' وإعادة التشغيل

5. التحقق من تطبيق التصحيح باستخدام 'uname -r' بعد إعادة التشغيل

الضوابط البديلة (إذا لم يكن التصحيح الفوري متاحًا):

1. تعطيل استخدام مقبس AF_PACKET عبر sysctl إذا لم تكن مطلوبة للعمليات

2. تقييد وصول shell للمستخدم المحلي باستخدام PAM وتكوين SSH

3. تطبيق القائمة السوداء لوحدة النواة لمقبس الحزم إن أمكن

4. مراقبة سجلات النظام للكشف عن محاولات زيادة الامتيازات المريبة

قواعد الكشف:

1. مراقبة عمليات root غير المتوقعة التي تنشأ من جلسات المستخدم غير المميزة

2. التنبيه على محاولات فشل زيادة الامتيازات في سجلات التدقيق

3. تتبع أحداث انهيار النواة وأعطال النظام

4. مراقبة /proc/sys/net/packet للنشاط غير المعتاد للمقبس

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policies ECC 2024 A.8.1.1 - User Endpoint Devices ECC 2024 A.8.2.1 - Privileged Access Rights ECC 2024 A.8.2.3 - Access Restriction and Authentication

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Hardware and Software Inventory SAMA CSF PR.AC-1 - Access Control Policy SAMA CSF PR.AC-4 - Access Rights Management SAMA CSF DE.CM-1 - System Monitoring

🟡 ISO 27001:2022

ISO 27001:2022 A.5.15 - Access Control ISO 27001:2022 A.8.1 - User Endpoint Devices ISO 27001:2022 A.8.2 - Privileged Access Rights ISO 27001:2022 A.8.22 - Information Security for Supplier Relationships

🟣 PCI DSS v4.0

PCI DSS 2.2 - Configuration Standards PCI DSS 6.2 - Security Patches PCI DSS 8.1 - User Access Control

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Linux:Kernel

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS0.14%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-05-02

تاريخ النشر 2022-04-11

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-22600

عرّفنا بنفسك

تسجيل الدخول مطلوب