Все як у Windows: нова діра в Linux відкриває root-доступ майже без шансів на захист

Дослідники з кібербезпеки повідомили про нову критичну вразливість Linux під назвою DirtyFrag, яка дозволяє локальне підвищення привілеїв до root. Проблема з’явилася невдовзі після гучної вразливості CopyFail і вже викликала занепокоєння серед Linux-спільноти.

Частина експертів попереджає, що DirtyFrag може стати особливо небезпечною для серверів, контейнерних середовищ та хмарноїінфраструктури. Про нову загрозу повідомило технічне видання Hackaday у щотижневому огляді кібербезпеки.

DirtyFrag поєднує механізми попередньої вразливості CopyFail, пов’язаної з xfrm-ESP у Linux, та нову проблему у функції RPC. Разом вонидозволяютьманіпулювати page cache — кешем сторінок ядра Linux, у якому тимчасово зберігаються дані з диска для швидкого доступу.

“Dirty Frag працює шляхом поєднання двох помилок ядра — xfrm-ESP Page-Cache Write та RxRPC Page-Cache Write”, — пояснив дослідник безпеки Хюнву Кім, який виявив проблему. За його словами, це дозволяє змінювати захищені системні файли у пам’яті без належної авторизації.

Суть атаки полягає у тому, що ядро Linux віддає перевагу кешованій версії файлу. Якщо зловмисник отримує можливістьзмінювативміст кешу сторінок, він фактично може підмінити справжній вміст системного файлу без прямого редагування самого файлу на диску. Саме цим і користується DirtyFrag.

Дослідники пояснюють, що атака використовує спеціальні бінарні файли Linux, які запускаються з root-правами, наприклад, su. Вразливість дозволяє змінити код, який мав би запитувати пароль користувача, на запуск shell-оболонки з повними привілеями адміністратора.

“Вразливість не залежить від race condition, має дуже високий відсоток успішної експлуатації та не викликає падіння ядра навіть у разі невдалої атаки”, — зазначає TechRadar із посиланням на дослідників.

На відміну від віддалених експлойтів, DirtyFrag не дозволяє зламати систему “з нуля” через Інтернет. Для атаки необхідно вже мати можливість запускати код або команди на цільовому пристрої. Однаксаме це й викликає занепокоєння спеціалістів, оскільки майже будь-яка локальна або мережна вразливість після цього може перетворитися на повний root-доступ.

Особливу небезпеку DirtyFrag становить для контейнерних середовищ та серверної інфраструктури. Атакувальник потенційноможе вийтиза межі контейнера, отримати доступ до привілейованого середовища або закріпитися у системі навіть після закриття початкової вразливості, через яку було отримано доступ.

“Це локальна вразливість, але якщо будь-що інше на сервері вже було скомпрометовано — вразливий сервіс, витік SSH-ключа чи container escape — DirtyFrag перетворює це на повний root-доступ”, — зазначають адміністратори Linux-спільноти на Reddit.

Проблема також ускладнюється тим, що попередні захисні заходи, створені після появи CopyFail, не блокують DirtyFrag. Тимчасові пом’якшення, які передбачали вимкнення окремих модулів ядра Linux, виявилися недостатніми для нової атаки.

Окреме занепокоєння викликало те, що публікація DirtyFrag відбулася раніше, ніж Linux-розробники встигли підготувати патчі. За даними Tom’s Hardware, ембарго на розкриття вразливості було порушене сторонньою особою, після чого експлойт опинився у відкритому доступі. На момент публікації готовихпатчів від більшості Linux-дистрибутивів ще немає. Водночас експерти рекомендують адміністраторам тимчасово вимикати вразливі модулі ядра та максимально обмежувати можливість локального виконання коду на серверах.

New Linux kernel LPE (Dirty Frag) — no patch yet, here's the workaroundbyu/webnestifyinhomelab

За даними NHS England Digital, проблема зачіпає ядра Linux, починаючи приблизно з 2017 року. Серед підтверджених вразливих систем — Ubuntu, Fedora, RHEL, AlmaLinux, openSUSE та CentOS Stream. Canonicalтакож підтвердила проблему в Ubuntu та оціниларівень небезпеки DirtyFrag у 7,8 бала за шкалою CVSS 3.1, що відповідає рівню HIGH.

Ситуація привернула увагу й американського агентства кібербезпеки CISA. Попередню вразливість CopyFail уже додали до списку KEV — Known Exploited Vulnerabilities, куди потрапляють уразливості, що активновикористовуютьсяу реальних атаках. Це означає, що державним установам та компаніям рекомендують терміново оновлювати системи та мінімізувати ризики експлуатації Linux-серверів.

Іранські хакери поклали Ubuntu: найпопулярніший Linux-дистрибутив досі не відновився повністю