Вот вопрос к системным администраторам в зале: что может быть лучше одной уязвимости Linux instant-root™️, затрагивающей практически каждую систему с 2017 года? Две, конечно. Сегодняшняя порция плохих новостей исходит от уязвимости Dirty Frag, которая использует механизм, схожий с эксплойтом Copy Fail, который в настоящее время заставляет гореть мир Linux-серверов. Эта уязвимость затрагивает почти все установки Linux с 2017 года, и предварительного уведомления не было, поэтому патч отсутствует. Похоже, это связано с нарушением эмбарго, которое раскрыло уязвимость до того, как были проведены подготовительные работы. Для справки: любой локальный пользователь может мгновенно получить доступ root (администратора) на затронутом компьютере, просто запустив небольшую программу. Атака не зависит от специфических условий системы или времени, поскольку это простая логическая ошибка. Затронуты практически все популярные дистрибутивы Linux с 2017 года, включая, но не ограничиваясь ими, текущие версии Ubuntu (24 и 26), Arch, RHEL, OpenSUSE, CentOS Stream, Fedora и Alma. Мы даже сами протестировали WSL2, и, конечно же, слово было «root». Однако Dirty Frag превосходит своего кузена, поскольку на момент написания этих строк для нее существует ноль патчей, что делает ее феноменально опасной. Кажется, даже в основном ядре Linux нет патчей, поскольку один мой коллега сообщил об успешном срабатывании эксплойта на машине CachyOS с ядром 7.0.3-1-cachyos, а также на обновленном компьютере Arch. Излишне говорить, что следите за обновлениями и пропатчите свои серверы, как только они станут доступны. Милостиво, однако, боги машин сделали смягчение последствий простым и маловероятным для влияния на работу подавляющего большинства серверов. Нужно лишь отключить модули esp4, esp6 и rxrpc. Все они в той или иной степени связаны с IPSec-сетью и вряд ли будут использоваться, если только данная машина не является IPSec-клиентом или сервером. Отключить упомянутые модули можно с помощью: Причина, по которой Dirty Frag застает всех врасплох, заключается в том, что, хотя уязвимость была сообщена команде ядра Linux 30 апреля, «посторонний, не связанный с этим,» нарушил эмбарго на раскрытие информации. На сайте нет более подробной информации, но наша лучшая теория заключается в том, что это означает, что эксплойт уже используется злоумышленниками, что и послужило причиной нарушения эмбарго. Если вы хотите протестировать свои машины, вы можете использовать: Что касается технических подробностей, история не сильно отличается от Copy Fail: она основана на эксплуатации операции zero-copy путем вставки дескриптора кэша страниц в нее. Разница в том, что на этот раз ошибочный код находится в модулях, связанных с IPSec. Исходная уязвимость — «xfrm-ESP Page Cache Write», введенная в коммите ядра cac2661c53f3 от 2017 года и присутствующая в большинстве дистрибутивов. Поскольку AppArmor в системах Ubuntu закрывает эту конкретную брешь, PoC использует цепочку второго эксплойта — «RxRPC Page-Cache Write», добавленного в коммите 2dc334f1a63a.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
