Российский эксперт выявил уязвимость, позволяющую взломать 90% серверов в мире

Эксперт компании Positive Technologies Александр Попов обнаружил в ядре операционной системы Linux опасную уязвимость, существовавшую более семи лет. Об этом Лайфу рассказали представители компании.

Как поясняют специалисты, в коде ядра Linux долгое время присутствовала уязвимость высокого уровня критичности, оцениваемая на 7,8 балла из 10 возможных по шкале CVSS v3. Ошибка типа "состояние гонки" (race condition), приводящая к двойному освобождению памяти ядра, была выявлена в драйвере n_hdlc.

Проблема затронула большинство сборок системы, включая RHEL 6/7, Fedora, SUSE, Debian и Ubuntu, которые используются в том числе в области государственного управления, телекоммуникаций, авиаперевозок, здравоохранения, банков и др.

Наиболее широко уязвимость оказалась распространена на рабочих станциях и серверах под управлением Linux. По оценке компании, более 90% веб-серверов используют данную операционную систему.

При помощи уязвимости злоумышленники могли повысить свои привилегии в атакуемой системе и вызвать сбой в её работе. Подобные привилегии могут быть использованы для удаления файлов, просмотра частной информации или для установки нежелательных программ — в том числе вирусов. Повышение привилегий является одним из важнейших этапов атаки, который выполняется после удалённого проникновения в целевую систему.

Специалисты подчёркивают, что при атаке с использованием выявленной уязвимости злоумышленнику не нужно специализированного аппаратного обеспечения. По данным Positive Technologies, в 46% случаев внешний нарушитель, обладая относительно низкой квалификацией, может получить доступ к ресурсам внутренней сети. При этом в 47% случаев начальным этапом атаки становились уязвимости веб-приложений, а в случае оставшихся 53% виновником проблемы становились словарные пароли, используемые пользователями систем.

После получения доступа к ресурсам внутренней сети злоумышленник мог расширить свои пользовательские права внутри системы, а затем сделать что-либо критичное: например, нарушить её работу, выполнить операции от имени легитимного пользователя и т.д. Уязвимость позволяла повысить привилегии до максимального уровня в считаные секунды.

— Скажем, у банковской организации есть веб-сайт, к которому подключаются клиенты. Сайт работает на сервере под управлением Linux и взаимодействует с базой данных (в которой хранится полный набор персональных данных банковских клиентов — от логинов и паролей к личным кабинетам, до паспортных данных, номеров счетов, финансовых транзакций и пр.). Если злоумышленник, воспользовавшись уязвимостью сайта, получил возможность исполнять код на сервере с минимальными правами пользователя, то ему необходимы права администратора, чтобы выполнять какие-либо действия в базе данных сайта. Например, изменять суммы на счетах клиентов, совершать переводы денежных средств или просто копировать клиентские и другие данные для последующего их использования. Эти права он может получить благодаря использованию уязвимостей данного типа, — пояснили специалисты.

Как отмечается, уязвимость присутствует в ядре с 22 июня 2009 года. Ошибка была выявлена с помощью тестирования системных вызовов Linux фаззером syzkaller. 28 февраля 2017 года Александр Попов сообщил о проблеме на kernel.org, сопроводив своё обращение прототипом эксплойта и патчем для её устранения. 7 марта состоялось публичное разглашение информации об уязвимости, получившей номер CVE-2017-2636, после чего были выпущены обновления безопасности.

Специалисты настоятельно рекомендуют пользователям установить свежие обновления или вручную заблокировать уязвимый модуль.