Все як у Windows: нова діра в Linux відкриває root-доступ майже без шансів на захист

Дослідники з кібербезпеки повідомили про нову критичну вразливість Linux під назвою DirtyFrag, яка дозволяє локальне підвищення привілеїв до root. Проблема з’явилася невдовзі після гучної вразливості CopyFail і вже викликала занепокоєння серед Linux-спільноти.

Частина експертів попереджає, що DirtyFrag може стати особливо небезпечною для серверів, контейнерних середовищ та хмарної інфраструктури. Про нову загрозу повідомило технічне видання Hackaday у щотижневому огляді кібербезпеки.

DirtyFrag поєднує механізми попередньої вразливості CopyFail, пов’язаної з xfrm-ESP у Linux, та нову проблему у функції RPC. Разом вони дозволяють маніпулювати page cache — кешем сторінок ядра Linux, у якому тимчасово зберігаються дані з диска для швидкого доступу.

Суть атаки полягає у тому, що ядро Linux віддає перевагу кешованій версії файлу. Якщо зловмисник отримує можливість змінювати вміст кешу сторінок, він фактично може підмінити справжній вміст системного файлу без прямого редагування самого файлу на диску. Саме цим і користується DirtyFrag.

Дослідники пояснюють, що атака використовує спеціальні бінарні файли Linux, які запускаються з root-правами, наприклад, su. Вразливість дозволяє змінити код, який мав би запитувати пароль користувача, на запуск shell-оболонки з повними привілеями адміністратора.

На відміну від віддалених експлойтів, DirtyFrag не дозволяє зламати систему “з нуля” через Інтернет. Для атаки необхідно вже мати можливість запускати код або команди на цільовому пристрої. Однак саме це й викликає занепокоєння спеціалістів, оскільки майже будь-яка локальна або мережна вразливість після цього може перетворитися на повний root-доступ.

Особливу небезпеку DirtyFrag становить для контейнерних середовищ та серверної інфраструктури. Атакувальник потенційно може вийти за межі контейнера, отримати доступ до привілейованого середовища або закріпитися у системі навіть після закриття початкової вразливості, через яку було отримано доступ.

Проблема також ускладнюється тим, що попередні захисні заходи, створені після появи CopyFail, не блокують DirtyFrag. Тимчасові пом’якшення, які передбачали вимкнення окремих модулів ядра Linux, виявилися недостатніми для нової атаки.

Окреме занепокоєння викликало те, що публікація DirtyFrag відбулася раніше, ніж Linux-розробники встигли підготувати патчі. За даними Tom’s Hardware, ембарго на розкриття вразливості було порушене сторонньою особою, після чого експлойт опинився у відкритому доступі. На момент публікації готових патчів від більшості Linux-дистрибутивів ще немає. Водночас експерти рекомендують адміністраторам тимчасово вимикати вразливі модулі ядра та максимально обмежувати можливість локального виконання коду на серверах.

New Linux kernel LPE (Dirty Frag) — no patch yet, here's the workaround
byu/webnestify inhomelab

За даними NHS England Digital, проблема зачіпає ядра Linux, починаючи приблизно з 2017 року. Серед підтверджених вразливих систем — Ubuntu, Fedora, RHEL, AlmaLinux, openSUSE та CentOS Stream. Canonical також підтвердила проблему в Ubuntu та оцінила рівень небезпеки DirtyFrag у 7,8 бала за шкалою CVSS 3.1, що відповідає рівню HIGH.

Ситуація привернула увагу й американського агентства кібербезпеки CISA. Попередню вразливість CopyFail уже додали до списку KEV — Known Exploited Vulnerabilities, куди потрапляють уразливості, що активно використовуються у реальних атаках. Це означає, що державним установам та компаніям рекомендують терміново оновлювати системи та мінімізувати ризики експлуатації Linux-серверів.

Іранські хакери поклали Ubuntu: найпопулярніший Linux-дистрибутив досі не відновився повністю

Джерело: Hackaday