Groźna luka w jądrze Linuxa jest aktywnie wykorzystywana. CISA alarmuje

Administratorzy systemów Linux otrzymali właśnie kolejne poważne ostrzeżenie. Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wpisała do katalogu aktywnie wykorzystywanych podatności niebezpieczną lukę w jądrze Linuxa, oznaczoną jako CVE-2022-0492. Decyzja oznacza jedno: cyberprzestępcy już wykorzystują ten błąd podczas rzeczywistych ataków.

Eksperci ostrzegają, że podatność może prowadzić do przejęcia uprawnień administratora, a w środowiskach kontenerowych nawet do wydostania się z izolowanego kontenera i przejęcia kontroli nad całym serwerem. To scenariusz, którego najbardziej obawiają się firmy korzystające z chmury obliczeniowej i nowoczesnych platform opartych na konteneryzacji.

Niebezpieczny błąd ukryty w jądrze Linuxa

Problem dotyczy mechanizmu cgroups v1, wykorzystywanego do zarządzania zasobami systemowymi. Właśnie tam znajduje się funkcja release_agent, która uruchamia określone działania po opróżnieniu grupy procesów. Według specjalistów luka wynika z niewystarczających mechanizmów uwierzytelniania i autoryzacji. W praktyce napastnik posiadający już pewien poziom dostępu do systemu może wykorzystać błąd do wykonywania własnych poleceń z najwyższymi uprawnieniami. To otwiera drogę do pełnego przejęcia kontroli nad serwerem, instalowania złośliwego oprogramowania, kradzieży danych lub dalszej infiltracji infrastruktury przedsiębiorstwa.

Szczególnie zagrożone są środowiska kontenerowe

Największe obawy budzą systemy wykorzystujące kontenery, takie jak rozwiązania oparte na Dockerze czy Kubernetesie. Mechanizm cgroups stanowi jeden z fundamentów izolacji procesów w takich środowiskach. Jeżeli napastnik uzyska dostęp do zainfekowanego kontenera, może próbować wykorzystać podatność CVE-2022-0492 do wydostania się poza jego granice. Następnie może przejąć system hosta i uzyskać dostęp do innych usług działających na tym samym serwerze.

W przypadku dużych środowisk chmurowych taki atak może stać się początkiem znacznie poważniejszego incydentu bezpieczeństwa. Eksperci od lat ostrzegają, że luki umożliwiające ucieczkę z kontenerów należą do najgroźniejszych błędów występujących w nowoczesnej infrastrukturze IT.

CISA potwierdza aktywne ataki

Najważniejszą informacją nie jest jednak sam charakter podatności, lecz fakt, że została ona dodana do katalogu Known Exploited Vulnerabilities. CISA umieszcza na tej liście wyłącznie błędy, dla których istnieją wiarygodne dowody wykorzystania podczas rzeczywistych operacji prowadzonych przez cyberprzestępców lub grupy hakerskie.

Oznacza to, że zagrożenie nie jest teoretyczne. Ataki już trwają.

Agencja nakazała amerykańskim instytucjom federalnym usunięcie podatności w określonym terminie i wdrożenie odpowiednich środków ochronnych. Tego typu decyzje są zwykle traktowane przez branżę jako sygnał najwyższego priorytetu.

Jakie systemy są zagrożone?

Podatność została odkryta kilka lat temu, jednak wiele organizacji nadal korzysta z nieaktualnych wersji jądra Linuxa lub systemów, które nie zostały odpowiednio zabezpieczone. Problem może występować szczególnie w starszych wdrożeniach wykorzystujących cgroups v1. W wielu przedsiębiorstwach takie środowiska nadal działają w systemach produkcyjnych, ponieważ migracja do nowszych rozwiązań bywa kosztowna i czasochłonna.

Cyberprzestępcy doskonale zdają sobie z tego sprawę. Właśnie dlatego starsze błędy często wracają do łask i ponownie stają się narzędziem wykorzystywanym podczas włamań.

Specjaliści apelują o natychmiastowe aktualizacje

Zespoły bezpieczeństwa zalecają jak najszybszą instalację poprawek udostępnionych przez dostawców systemów Linux. Rekomendowane jest również ograniczenie dostępu do konfiguracji cgroups oraz wyłączenie nieuprzywilejowanych przestrzeni nazw użytkowników tam, gdzie jest to możliwe.

Administratorzy powinni również zwrócić szczególną uwagę na wszelkie nietypowe operacje związane z konfiguracją grup kontrolnych. Takie działania mogą świadczyć o próbach wykorzystania podatności przez osoby nieuprawnione.

W przypadku infrastruktury chmurowej i środowisk kontenerowych monitorowanie tego typu aktywności staje się jednym z najważniejszych elementów ochrony.