Локальная эскалация привилегий в ядре Linux: новая угроза безопасности

Исследователи безопасности обнаружили новую локальную уязвимость повышения привилегий в ядре Linux, получившую название "CIFSwitch". Эта проблема затрагивает несколько распространённых дистрибутивов Linux и может позволить злоумышленнику, имеющему доступ к системе с ограниченными правами, повысить их до уровня root, то есть полного контроля над системой.

Что такое CIFSwitch?

CIFSwitch представляет собой ошибку в механизме обработки ключей аутентификации протокола CIFS (Common Internet File System) в ядре Linux. Атака основана на возможности подделать описания ключей аутентификации таким образом, чтобы ядро неверно обрабатывало запросы на получение этих ключей. Это приводит к тому, что злоумышленник получает возможность выполнять произвольный код с повышенными привилегиями.

Как работает атака?

Атака состоит из нескольких этапов:

• Подделка описаний ключей аутентификации CIFS;
• Использование механизма запроса ключей ядра для получения поддельных данных;
• Выполнение кода с повышенными привилегиями.

Эта последовательность действий позволяет злоумышленнику обойти стандартные механизмы защиты и получить контроль над системой.

Какие дистрибутивы подвержены риску?

На данный момент известно, что уязвимость присутствует в следующих версиях Linux-дистрибутивов:

• Ubuntu 20.04 LTS и выше;
• Debian 10 и выше;
• Fedora Workstation 34 и выше;
• CentOS Stream 8 и выше.

Если ваша организация использует одну из указанных версий, необходимо принять меры предосторожности.

Последствия атаки

Получение прав root предоставляет злоумышленнику практически неограниченные возможности управления системой, включая:

• Доступ ко всем файлам и данным;
• Возможность установки вредоносного ПО;
• Изменение конфигурации системы;
• Скрытие следов своей деятельности.

Это делает атаку особенно опасной для организаций, использующих Linux-системы в критически важных инфраструктурах.

Рекомендации по защите

Для минимизации риска рекомендуется выполнить следующие действия:

• Установить последние обновления безопасности для вашего дистрибутива Linux;
• Ограничить доступ пользователей к системам с ограниченным набором необходимых полномочий;
• Регулярно проводить аудит безопасности и мониторинг активности пользователей;
• Использовать инструменты мониторинга и анализа угроз, такие как Perimeter EASM, для выявления подозрительной активности.

Как проверить с помощью Perimeter

Платформа Perimeter предлагает инструмент Vulnerability Scanning, который помогает обнаружить известные уязвимости в системах организации. Для проверки наличия проблемы CIFSwitch выполните следующее:

• Запустите сканирование модулями Kernel Exploits и Local Privilege Escalations;
• Проверьте результаты на наличие предупреждений о данной уязвимости;
• При необходимости примените рекомендуемые исправления и обновления.

Следуя этим рекомендациям, можно значительно снизить риск успешной эксплуатации уязвимости CIFSwitch в вашей инфраструктуре.