Руководители служб безопасности (CSO) должны обеспечить блокировку несанкционированного повышения привилегий в своих системах на базе Linux до тех пор, пока дистрибутивы не выпустят исправления для устранения серьезной уязвимости ядра, затрагивающей все дистрибутивы Linux, выпущенные с 2017 года.
Пока нет исправлений для бага логики, получившего название Copy Fail (CVE-2026-31431), который позволяет пользователям легко получить доступ уровня root, CSO мало что могут сделать, — говорит Йоханнес Ульрих, декан по исследованиям в SANS Institute, — при условии, что у них уже настроен мониторинг повышения привилегий.
Имея доступ уровня root, злоумышленник может сделать с системой что угодно: от кражи данных до их полного удаления.
«Уязвимость CopyFail значительна, поскольку ее легко эксплуатировать, и она затрагивает большинство, если не все, системы Linux, находящиеся в эксплуатации», — сказал Ульрих в электронном письме.
«С другой стороны, — отметил он, — уязвимости повышения привилегий встречаются довольно часто, и атакующий должен сначала получить возможность выполнить код в системе, чтобы их использовать. Общие слабости конфигурации также могут открыть дверь для повышения привилегий».
Тем не менее, эту уязвимость следует устранить, но она не требует особой приоритизации. «Как только исправления будут выпущены, их следует применить», — сказал он. «Возможно, потребуется перезагрузка для полной защиты затронутых систем после применения исправления».
По состоянию на полдень четверга, по его словам, исправление выпустила только Arch Linux. Но он полагает, что другие дистрибутивы, вероятно, выпустят его в ближайшие несколько дней.
«А пока, — добавил он, — есть возможность добавить определенный параметр ядра, но его применение требует перезагрузки и нецелесообразно в больших средах, по крайней мере, до выпуска исправления».
Логическая ошибка ядра
Уязвимость была обнаружена исследователями из базирующейся в Южной Корее компании Theori, отчасти с помощью их сканера уязвимостей на базе ИИ. Об этом было сообщено команде безопасности ядра Linux 23 марта. 1 апреля исправления были внесены в основное ядро, а CVE присвоен 22 апреля. Публичное раскрытие информации состоялось только на этой неделе, когда Theori опубликовала блог о своей работе.
Copy Fail — это логическая ошибка в криптографическом шаблоне authencesn ядра Linux. Она позволяет непривилегированному локальному пользователю инициировать детерминированную, контролируемую запись 4 байтов в кэш страниц любого доступного для чтения файла в системе; эксплойт Theori представляет собой единственный Python-скрипт размером 732 байта. Результат: этот неавторизованный пользователь получает доступ уровня root.
Уязвимость также позволяет осуществить побег из контейнеров Kubernetes, добавили в Theori, что они обещают объяснить в будущем блоге.
CSO, администраторы Linux и другие заинтересованные стороны могут найти дополнительную информацию о проблеме на веб-сайте Copy Fail, который поддерживается исследователями Theori.
Theori заявила, что системы, которые следует пропатчить в первую очередь после выпуска исправлений, это многопользовательские хосты Linux; системы с контейнерами Kubernetes; раннеры непрерывной интеграции и сборочные фермы, включая GitHub actions, GitLab runners или Jenkins agents; а также облачные SaaS-системы, выполняющие пользовательский код, такие как хосты ноутбуков, песочницы агентов, бессерверные функции или любые контейнеры или скрипты, предоставленные арендаторами.
«Огромное» число затронутых дистрибутивов
Число затронутых дистрибутивов «огромно», — сказал Келлман Мегу, технический директор канадской фирмы по реагированию на инциденты DeepCove Security, — «и скорость, с которой это произошло, была совершенно недостаточной для того, чтобы ядро было пропатчено, протестировано и распространено по всем дистрибутивам» после обнаружения уязвимости в прошлом месяце.
«Вы мало что можете сделать, кроме как начать инвентаризацию рискованных систем и следить за обновлениями каждого дистрибутива», — сказал он. «Немедленно примените исправления ядра (если это возможно) и постарайтесь изолировать или отслеживать любые общие системы Linux до их исправления. Запросите у всех своих поставщиков и сторонних цепочек поставок их планы и оценки рисков, чтобы быть осторожными при взаимодействии с другими системами, которые могут быть под угрозой».
Для Debian, Ubuntu и других систем на базе Debian эксплуатируемый код находится в отдельном модуле ядра, который можно отключить с помощью команд ядра, добавил Мегу. Однако многие другие дистрибутивы компилируют его непосредственно в ядро, и их может быть не так легко изменить. Это уникально для каждого дистрибутива, сказал он, поэтому наличие инвентаризации и плана для каждого из них жизненно важно для того, чтобы опередить уязвимость.
[Связанный контент: Вредоносное ПО VoidLink нацелено на облачные серверы Linux]
Прямая логическая ошибка
Исследователи Theori отметили, что Copy Fail — не первая громкая ошибка повышения привилегий. Dirty Cow (CVE-2016-5195) требовала выигрыша в состоянии гонки в пути копирования при записи подсистемы VM. Для успеха часто требовалось несколько попыток, и иногда это приводило к сбою системы. Dirty Pipe (CVE-2022-0847) зависела от версии и требовала точной манипуляции с буфером канала. Но Copy Fail — это прямая логическая ошибка, заявили исследователи, которая срабатывает без гонок, повторных попыток или окон времени, приводящих к сбоям.
Эксплойт, созданный Theori, работал на Ubuntu, Amazon Linux, RHEL и SUSE Linux.
Общие системы под «чрезвычайным риском»
«Эксплуатация тривиальна», — сказал Мегу из DeepCove Security. «Хорошая новость в том, что это не удаленное выполнение кода, что дает нам время для установки исправлений, когда они будут доступны, но приоритет должен быть отдан любым общим системам, поскольку любой локальный пользователь может легко повысить свои привилегии до root. Эти системы сейчас находятся под чрезвычайным риском».
Его самый большой страх заключается в том, что эксплойт может стать частью цепочки атак. Поскольку повышение привилегий достигается тривиально, он сказал: «Я совсем не рад ждать исправлений». Эксплойт может затронуть все системы Linux и контейнеры ИТ-отдела, а также цепочку поставок организации, и для исправления и проверки каждой системы потребуется «значительный объем работы», а это означает, что CSO должны хорошо разбираться в своей инвентаризации программного обеспечения и зависимостях.
«Меня также очень беспокоит бесконечное количество аппаратных устройств на базе Linux, которые, вероятно, редко, если вообще когда-либо, получают исправления, и будут частью систем Интернета вещей или потребительских систем в течение многих лет», — добавил Мегу. «Если вы занимаетесь поддержкой аппаратных устройств на базе Linux, для вас это будет не лучший день».
«Эта [уязвимость] делает атаки типа living off the land невероятно легкими», — заключил он, — «поэтому наблюдение за необычной активностью в ваших системах никогда не было столь критичным».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
