Исследователи по кибербезопасности сообщили о новой критической уязвимости Linux под названием DirtyFrag, которая позволяет локальное повышение привилегий до root. Проблема появилась вскоре после нашумевшей уязвимости CopyFail и уже вызвала беспокойство среди Linux-сообщества.
Часть экспертов предупреждает, что DirtyFrag может стать особенно опасной для серверов, контейнерных сред и облачной инфраструктуры. О новой угрозе сообщило техническое издание Hackaday в еженедельном обзоре кибербезопасности.
DirtyFrag сочетает механизмы предыдущей уязвимости CopyFail, связанной с xfrm-ESP в Linux, и новую проблему в функции RPC. Вместе они позволяют манипулировать page cache — кэшем страниц ядра Linux, в котором временно хранятся данные с диска для быстрого доступа.
«Dirty Frag работает путем сочетания двух ошибок ядра — xfrm-ESP Page-Cache Write и RxRPC Page-Cache Write», — объяснил исследователь безопасности Хюнву Ким, который обнаружил проблему. По его словам, это позволяет изменять защищенные системные файлы в памяти без надлежащей авторизации.
Суть атаки заключается в том, что ядро Linux отдает предпочтение кэшированной версии файла. Если злоумышленник получает возможность менять содержимое кэша страниц, он фактически может подменить истинное содержимое системного файла без прямого редактирования самого файла на диске. Именно этим и пользуется DirtyFrag.
Исследователи объясняют, что атака использует специальные бинарные файлы Linux, которые запускаются с root-правами, например, su. Уязвимость позволяет изменить код, который должен был бы запрашивать пароль пользователя, на запуск shell-оболочки с полными привилегиями администратора.
«Уязвимость не зависит от race condition, имеет очень высокий процент успешной эксплуатации и не вызывает падение ядра даже в случае неудачной атаки», — отмечает TechRadar со ссылкой на исследователей.
В отличие от удаленных эксплойтов, DirtyFrag не позволяет взломать систему «с нуля» через Интернет. Для атаки необходимо уже иметь возможность запускать код или команды на целевом устройстве. Однако именно это и вызывает беспокойство специалистов, поскольку почти любая локальная или сетевая уязвимость после этого может превратиться в полный root-доступ.
Особую опасность DirtyFrag представляет для контейнерных сред и серверной инфраструктуры. Атакующий потенциально может выйти за пределы контейнера, получить доступ к привилегированной среде или закрепиться в системе даже после закрытия первоначальной уязвимости, через которую был получен доступ.
«Это локальная уязвимость, но если что-либо другое на сервере уже было скомпрометировано — уязвимый сервис, утечка SSH-ключа или container escape — DirtyFrag превращает это в полный root-доступ», — отмечают администраторы Linux-сообщества на Reddit.
Проблема также осложняется тем, что предыдущие защитные меры, созданные после появления CopyFail, не блокируют DirtyFrag. Временные смягчения, которые предусматривали отключение отдельных модулей ядра Linux, оказались недостаточными для новой атаки.
СпецпроектыRB24: що вміє застосунок РАДАБАНКу і чи варто його спробуватиНовий конкурс авторів ITC.ua: напиши допис та виграй крутий електросамокат і техніку від Proove
Отдельное беспокойство вызвало то, что публикация DirtyFrag состоялась раньше, чем Linux-разработчики успели подготовить патчи. По данным Tom’s Hardware, эмбарго на раскрытие уязвимости было нарушено посторонним лицом, после чего эксплойт оказался в открытом доступе. На момент публикации готовых патчей от большинства Linux-дистрибутивов еще нет. В то же время эксперты рекомендуют администраторам временно выключать уязвимые модули ядра и максимально ограничивать возможность локального выполнения кода на серверах.
New Linux kernel LPE (Dirty Frag) — no patch yet, here's the workaround
byu/webnestify inhomelab
По данным NHS England Digital, проблема затрагивает ядра Linux, начиная примерно с 2017 года. Среди подтвержденных уязвимых систем — Ubuntu, Fedora, RHEL, AlmaLinux, openSUSE и CentOS Stream. Canonical также подтвердила проблему в Ubuntu и оценила уровень опасности DirtyFrag в 7,8 балла по шкале CVSS 3.1, что соответствует уровню HIGH.
Ситуация привлекла внимание и американского агентства кибербезопасности CISA. Предыдущую уязвимость CopyFail уже добавили в список KEV — Known Exploited Vulnerabilities, куда попадают уязвимости, активно используемые в реальных атаках. Это означает, что государственным учреждениям и компаниям рекомендуют срочно обновлять системы и минимизировать риски эксплуатации Linux-серверов.
Іранські хакери поклали Ubuntu: найпопулярніший Linux-дистрибутив досі не відновився повністю
Источник: Hackaday
