Фахівці з кібербезпеки виявили нову критичну уразливість Linux, відому як DirtyFrag, яка дозволяє локально підвищити привілеї до root. Ця проблема виникла незабаром після відомої уразливості CopyFail і вже викликала занепокоєння в спільноті Linux.
Деякі експерти попереджають, що DirtyFrag може бути особливо небезпечною для серверів, контейнерних середовищ та хмарної інфраструктури. Про нову загрозу повідомило технічне видання Hackaday у своєму щотижневому огляді кібербезпеки.
DirtyFrag об’єднує механізми попередньої уразливості CopyFail, пов’язаної з xfrm-ESP у Linux, та нову проблему у функції RPC. Разом вони дозволяють маніпулювати кешем сторінок — кешем ядра Linux, де тимчасово зберігаються дані з диска для швидкого доступу.
“Dirty Frag функціонує шляхом поєднання двох помилок ядра — xfrm-ESP Page-Cache Write та RxRPC Page-Cache Write”, — пояснив дослідник безпеки Хюнву Кім, який виявив цю проблему. За його словами, це дозволяє змінювати захищені системні файли у пам’яті без необхідної авторизації.
Суть атаки полягає в тому, що ядро Linux віддає перевагу кешованій версії файлу. Якщо зловмисник отримує можливість змінювати вміст кешу сторінок, він фактично може підмінити справжній вміст системного файлу без прямого редагування самого файлу на диску. Саме цим і користується DirtyFrag.
Дослідники зазначають, що атака використовує спеціальні бінарні файли Linux, які запускаються з root-правами, наприклад, su. Уразливість дозволяє змінити код, який мав би запитувати пароль користувача, на запуск shell-оболонки з повними привілеями адміністратора.
“Вразливість не залежить від race condition, має дуже високий відсоток успішної експлуатації та не викликає падіння ядра навіть у разі невдалої атаки”, — зазначає TechRadar, посилаючись на дослідників.
На відміну від віддалених експлойтів, DirtyFrag не дозволяє зламати систему “з нуля” через Інтернет. Для атаки необхідно вже мати можливість запускати код або команди на цільовому пристрої. Однак саме це викликає занепокоєння фахівців, оскільки майже будь-яка локальна або мережна вразливість після цього може перетворитися на повний root-доступ.
Особливу небезпеку DirtyFrag становить для контейнерних середовищ та серверної інфраструктури. Атакувальник потенційно може вийти за межі контейнера, отримати доступ до привілейованого середовища або закріпитися у системі навіть після закриття початкової вразливості, через яку було отримано доступ.
“Це локальна вразливість, але якщо будь-що інше на сервері вже було скомпрометовано — вразливий сервіс, витік SSH-ключа чи container escape — DirtyFrag перетворює це на повний root-доступ”, — зазначають адміністратори Linux-спільноти на Reddit.
Проблема також ускладнюється тим, що попередні захисні заходи, створені після появи CopyFail, не блокують DirtyFrag. Тимчасові пом’якшення, які передбачали вимкнення окремих модулів ядра Linux, виявилися недостатніми для нової атаки.
СпецпроєктиТОП пристроїв Garmin: що вибрати для спорту, подорожей і життяТравневий суперрозпродаж Blackview на AliExpress: новітні смартфони з Android 15 та знижки до 40%
Окреме занепокоєння викликало те, що публікація DirtyFrag відбулася раніше, ніж Linux-розробники встигли підготувати патчі. За даними Tom’s Hardware, ембарго на розкриття вразливості було порушене сторонньою особою, після чого експлойт опинився у відкритому доступі. На момент публікації готових патчів від більшості Linux-дистрибутивів ще немає. Водночас експерти рекомендують адміністраторам тимчасово вимикати вразливі модулі ядра та максимально обмежувати можливість локального виконання коду на серверах.
New Linux kernel LPE (Dirty Frag) — no patch yet, here's the workaround
byu/webnestify inhomelab
За даними NHS England Digital, проблема зачіпає ядра Linux, починаючи приблизно з 2017 року. Серед підтверджених вразливих систем — Ubuntu, Fedora, RHEL, AlmaLinux, openSUSE та CentOS Stream. Canonical також підтвердила проблему в Ubuntu та оцінила рівень небезпеки DirtyFrag у 7,8 бала за шкалою CVSS 3.1, що відповідає рівню HIGH.
Ситуація привернула увагу й американського агентства кібербезпеки CISA. Попередню вразливість CopyFail вже додали до списку KEV — Known Exploited Vulnerabilities, куди потрапляють уразливості, що активно використовуються у реальних атаках. Це означає, що державним установам та компаніям рекомендують терміново оновлювати системи та мінімізувати ризики експлуатації Linux-серверів.
Іранські хакери поклали Ubuntu: найпопулярніший Linux-дистрибутив досі не відновився повністю
Джерело: Hackaday
Ця уразливість ще раз нагадує, що навіть Linux не застрахований від серйозних дір у безпеці. Потрібно швидко оновлювати системи і не ігнорувати такі попередження.
Абсолютно вірно. Регулярні оновлення системи – ключ до безпеки. Навіть найнадійніші ОС можуть мати вразливості, тому важливо не зволікати з патчами і використовувати додаткові засоби захисту.