Nowa luka w Linuksie to koszmar administratorów. Fragnesia daje roota każdemu użytkownikowi

Administratorzy Linuksa szykują się na trudny tydzień po ujawnieniu nowej luki w jądrze, nazwanej „Fragnesia”. Podatność pozwala lokalnym użytkownikom na eskalację uprawnień do roota przez uszkodzenie pamięci podręcznej.

Luka została odkryta przez Williama Bowlinga z zespołu ds. bezpieczeństwa V12, a kod exploita jest już publicznie dostępny na GitHubie. Badacze z Wiz, firmy należącej do Google, wskazują, że Fragnesia dotyczy podsystemu XFRM i przetwarzania ESP-in-TCP w ramach protokołu IPsec, co pozwala atakującym na manipulowanie danymi w pamięci bez modyfikacji plików na dysku.

„Fragnesia” pojawiła się jako niezamierzony efekt uboczny poprawek wprowadzonych w celu naprawienia pierwotnych luk w zabezpieczeniach Dirty Frag.

Dziedzictwo Dirty Frag

Fragnesia jest kolejnym błędem w serii „Dirty Frag”, która pojawiła się kilka dni wcześniej i już zyskała reputację wyjątkowo niebezpiecznej. Luka powstała częściowo w wyniku poprawek do pierwotnych problemów, co pokazuje, jak łatwo poprawki bezpieczeństwa mogą niezamierzenie wprowadzać nowe zagrożenia. Wcześniejsze błędy, takie jak Copy Fail, również nadużywały pamięci podręcznej, ale ich wykorzystanie wymagało precyzyjnego timing’u i dużej dawki szczęścia. Fragnesia eliminuje te ograniczenia, oferując bardziej przewidywalną drogę do roota, co czyni ją groźną dla każdego, kto uzyskał już dostęp do systemu.

Eksploatacja i reakcja dystrybutorów

Publiczny kod exploita umożliwia użycie Fragnesii w atakach na procesy, które mogą być podatne w chmurze lub w systemach lokalnych. Repozytorium V12 demonstruje użycie luki w /usr/bin/su w celu uruchomienia powłoki roota, co zwiększa ryzyko całkowitego przejęcia kontroli nad systemem. Dystrybutorzy Linuksa, w tym AlmaLinux, Red Hat, Ubuntu, Debian, Gentoo, SUSE i Amazon Linux, już publikują ostrzeżenia i zalecenia dotyczące łagodzenia skutków. Rekomendacje obejmują szybkie stosowanie poprawek lub wyłączanie nieużywanych funkcji związanych z ESP. Microsoft również apeluje o pilne aktualizacje, przypominając, że luka może umożliwić modyfikację krytycznych plików systemowych, w tym /etc/passwd.

Przewidywania bezpieczeństwa

Eksperci ostrzegają, że Fragnesia może stać się nowym standardem exploita w środowiskach Linuksa, oferując atakującym stabilną i przewidywalną drogę do pełnego dostępu. 

Microsoft zaapelował również do organizacji o szybkie wdrożenie poprawek, zaznaczając, że chociaż do tej pory nie zaobserwowano żadnego wykorzystania luki w środowisku naturalnym, Fragnesia „może zmodyfikować każdy plik możliwy do odczytania przez użytkownika, w tym /etc/passwd.