Все як у Windows: нова вразливість у Linux надає root-доступ з мінімальними шансами на захист

Image: MorphiSec / AI Generated

Фахівці в галузі кібербезпеки виявили нову критичну уразливість у Linux, відому як DirtyFrag, яка дозволяє локально підвищити привілеї до root. Ця проблема з’явилася незабаром після відомої уразливості CopyFail і вже викликала занепокоєння серед спільноти Linux.

Деякі експерти попереджають, що DirtyFrag може бути особливо небезпечною для серверів, контейнерних середовищ і хмарної інфраструктури. Про нову загрозу повідомило технічне видання Hackaday у своєму щотижневому огляді кібербезпеки.

DirtyFrag поєднує механізми попередньої уразливості CopyFail, пов’язаної з xfrm-ESP у Linux, та нову проблему у функції RPC. Це дозволяє маніпулювати кешем сторінок — кешем ядра Linux, де тимчасово зберігаються дані з диска для швидкого доступу.

“Dirty Frag функціонує шляхом комбінації двох помилок ядра — xfrm-ESP Page-Cache Write та RxRPC Page-Cache Write”, — пояснив дослідник безпеки Хюнву Кім, який виявив цю проблему. Він зазначив, що це дозволяє змінювати захищені системні файли у пам’яті без належної авторизації.

Суть атаки полягає в тому, що ядро Linux віддає перевагу кешованій версії файлу. Якщо зловмисник отримує можливість змінювати вміст кешу сторінок, він фактично може підмінити справжній вміст системного файлу без прямого редагування самого файлу на диску. Саме цим і користується DirtyFrag.

Дослідники пояснюють, що атака використовує спеціальні бінарні файли Linux, які запускаються з root-правами, наприклад, su. Вразливість дозволяє змінити код, який мав би запитувати пароль користувача, на запуск shell-оболонки з повними привілеями адміністратора.

“Вразливість не залежить від race condition, має дуже високий відсоток успішної експлуатації та не викликає падіння ядра навіть у разі невдалої атаки”, — зазначає TechRadar, посилаючись на дослідників.

На відміну від віддалених експлойтів, DirtyFrag не дозволяє зламати систему “з нуля” через Інтернет. Для атаки необхідно вже мати можливість запускати код або команди на цільовому пристрої. Однак саме це й викликає занепокоєння спеціалістів, оскільки майже будь-яка локальна або мережна вразливість після цього може перетворитися на повний root-доступ.

DirtyFrag становить особливу загрозу для контейнерних середовищ і серверної інфраструктури. Атакувальник потенційно може вийти за межі контейнера, отримати доступ до привілейованого середовища або закріпитися у системі навіть після закриття початкової вразливості, через яку було отримано доступ.

“Це локальна вразливість, але якщо будь-що інше на сервері вже було скомпрометовано — вразливий сервіс, витік SSH-ключа чи container escape — DirtyFrag перетворює це на повний root-доступ”, — зазначають адміністратори Linux-спільноти на Reddit.

Проблема ускладнюється тим, що попередні заходи безпеки, запроваджені після появи CopyFail, не блокують DirtyFrag. Тимчасові пом’якшення, які передбачали вимкнення окремих модулів ядра Linux, виявилися недостатніми для нової атаки.

СпецпроєктиBitget: Як обрати брокера, який не грає проти вас. Гайд по B-Book, STP і Bitget CFDТравневий суперрозпродаж Blackview на AliExpress: новітні смартфони з Android 15 та знижки до 40%

Окреме занепокоєння викликало те, що публікація DirtyFrag відбулася раніше, ніж Linux-розробники встигли підготувати патчі. За даними Tom’s Hardware, ембарго на розкриття вразливості було порушене сторонньою особою, після чого експлойт опинився у відкритому доступі. На момент публікації готових патчів від більшості Linux-дистрибутивів ще немає. Водночас експерти рекомендують адміністраторам тимчасово вимикати вразливі модулі ядра та максимально обмежувати можливість локального виконання коду на серверах.

New Linux kernel LPE (Dirty Frag) — no patch yet, here's the workaround
byu/webnestify inhomelab

За даними NHS England Digital, проблема зачіпає ядра Linux, починаючи приблизно з 2017 року. Серед підтверджених вразливих систем — Ubuntu, Fedora, RHEL, AlmaLinux, openSUSE та CentOS Stream. Canonical також підтвердила проблему в Ubuntu та оцінила рівень небезпеки DirtyFrag у 7,8 бала за шкалою CVSS 3.1, що відповідає рівню HIGH.

Ситуація привернула увагу й американського агентства кібербезпеки CISA. Попередню вразливість CopyFail вже додали до списку KEV — Known Exploited Vulnerabilities, куди потрапляють уразливості, що активно використовуються у реальних атаках. Це означає, що державним установам та компаніям рекомендують терміново оновлювати системи та мінімізувати ризики експлуатації Linux-серверів.

Іранські хакери поклали Ubuntu: найпопулярніший Linux-дистрибутив досі не відновився повністю

Джерело: Hackaday