Jak informuje Hackaday, eksperci ds. cyberbezpieczeństwa wykryli nową krytyczną podatność w systemie Linux nazwaną DirtyFrag. Luka umożliwia lokalne podniesienie uprawnień do poziomu root i już wywołała poważne obawy wśród administratorów infrastruktury serwerowej oraz społeczności open source.
Według specjalistów podatność może stanowić szczególne zagrożenie dla środowisk kontenerowych, serwerów oraz usług chmurowych. Problem dotyczy wielu popularnych dystrybucji Linuxa, a większość producentów nadal nie udostępniła gotowych poprawek bezpieczeństwa, pisze Bytow24.
DirtyFrag wykorzystuje pamięć podręczną jądra Linux
Badacze wyjaśniają, że nowa podatność łączy mechanizmy wcześniejszej luki CopyFail z dodatkowym problemem dotyczącym funkcji RPC. Atak pozwala manipulować pamięcią page cache, czyli pamięcią podręczną jądra Linux odpowiedzialną za tymczasowe przechowywanie danych z dysku.
Odkrywca podatności Hyunwoo Kim opisał sposób działania exploitów.
„Dirty Frag działa poprzez połączenie dwóch błędów jądra — xfrm-ESP Page-Cache Write oraz RxRPC Page-Cache Write”.
Według badacza mechanizm pozwala na modyfikowanie chronionych plików systemowych bez odpowiedniej autoryzacji.
Atak pozwala przejąć pełną kontrolę nad systemem
Eksperci podkreślają, że Linux preferuje korzystanie z danych zapisanych w cache zamiast bezpośredniego odczytu z dysku. Jeśli atakujący uzyska możliwość manipulowania cache, może skutecznie podmienić zawartość ważnych plików systemowych bez ich fizycznej zmiany na nośniku danych.
Badacze wskazują, że luka może zostać wykorzystana do przejęcia kontroli nad plikami uruchamianymi z uprawnieniami administratora, takimi jak program su. W praktyce pozwala to uruchomić powłokę systemową z pełnym dostępem root bez konieczności podawania hasła.
W analizie przytoczono także ocenę specjalistów ds. bezpieczeństwa dotyczącą skuteczności exploitów.
„Podatność nie zależy od race condition, ma bardzo wysoki procent skuteczności i nie powoduje awarii jądra nawet w przypadku nieudanej próby ataku”.
Największe ryzyko dotyczy serwerów i środowisk kontenerowych
DirtyFrag nie umożliwia przejęcia urządzenia całkowicie zdalnie. Atakujący musi już posiadać możliwość wykonywania kodu lub poleceń na systemie ofiary. Eksperci zaznaczają jednak, że praktycznie każda wcześniejsza kompromitacja serwera może zostać błyskawicznie przekształcona w pełny dostęp administracyjny.
Szczególnie narażone pozostają:
- środowiska kontenerowe;
- infrastruktura chmurowa;
- serwery VPS;
- systemy korporacyjne;
- platformy hostingowe.
Administratorzy społeczności Linux na Reddicie ostrzegają, że luka może być wykorzystywana po wcześniejszych wyciekach kluczy SSH lub przejęciu podatnych usług sieciowych.
W jednym z komentarzy zwrócono uwagę na skalę problemu.
„To lokalna podatność, ale jeśli cokolwiek innego na serwerze zostało już naruszone — podatna usługa, wyciek klucza SSH lub container escape — DirtyFrag zamienia to w pełny dostęp root”.
Poprawki bezpieczeństwa nadal nie są gotowe
Sytuację dodatkowo pogorszyło przedwczesne ujawnienie szczegółów exploitów. Według Tom’s Hardware embargo dotyczące publikacji informacji zostało złamane przez osobę trzecią, przez co kod exploitów szybko trafił do sieci.
Eksperci zalecają administratorom ograniczenie możliwości lokalnego wykonywania kodu oraz tymczasowe wyłączanie podatnych modułów jądra Linux.
Według danych NHS England Digital problem dotyczy jąder Linux rozwijanych od około 2017 roku. Wśród potwierdzonych podatnych systemów znajdują się:
- Ubuntu;
- Fedora;
- RHEL;
- AlmaLinux;
- openSUSE;
- CentOS Stream.
Canonical potwierdził obecność podatności w Ubuntu i ocenił poziom zagrożenia na 7,8 punktu w skali CVSS 3.1, co odpowiada poziomowi HIGH.
CISA monitoruje sytuację wokół nowej podatności
Nowa luka zwróciła również uwagę amerykańskiej agencji cyberbezpieczeństwa CISA. Poprzednia podatność CopyFail została już wcześniej dodana do listy KEV obejmującej aktywnie wykorzystywane zagrożenia.
Eksperci apelują do administratorów oraz firm o możliwie szybkie aktualizowanie systemów oraz ograniczanie ryzyka wykonywania nieautoryzowanego kodu na serwerach Linux.
Przypomnij, że wcześniej pisaliśmy o wstępnym porozumieniu Apple i Intel dotyczącym produkcji chipów dla iPhone’ów i komputerów Mac.
