Исследователи кибербезопасности обнаружили «критическую» уязвимость в Linux, дающую злоумышленникам полный доступ к системе даже при использовании полного шифрования диска.

Отчёт, опубликованный компанией ERNW, демонстрирует эксплуатацию уязвимости в Ubuntu 25.04 и Fedora 42.

Злоумышленник с физическим доступом к системе Linux может получить отладочную (debug) оболочку, просто несколько раз подряд введя неправильный пароль для расшифровки. В Ubuntu достаточно нажать Esc на экране ввода пароля, ввести несколько комбинаций клавиш для того, чтобы появилась отладочная оболочка. Именно через неё атакующий может скомпрометировать зашифрованную систему.

Злоумышленник может подключить USB-накопитель с инструментами для изменения initramfs (Initial RAM File System — временная файловая система, используемая при загрузке для подготовки основной ОС). Поскольку initramfs не подписан, модификация не вызывает срабатывания механизмов защиты.

При следующей загрузке, когда владелец введёт правильный пароль, вредоносный код выполнится с повышенными привилегиями. Это позволит злоумышленнику: похищать данные, получать удалённый доступ для мониторинга системы, запускать кейлоггер или выполнять другие действия.

Исследователи подчёркивают, что это не баг и не ошибка, а скорее «упущение» и «слепое пятно» в архитектуре некоторых дистрибутивов Linux. Отладочная оболочка полезна для пользователей, но злоумышленники могут её использовать в своих целях.

Несмотря на потенциальную опасность, большинству пользователей Ubuntu паниковать не стоит, т.к. атака с физическим доступом требует, чтобы злоумышленник находился рядом с устройством.

Кроме того, метод, описанный ERNW, требует заранее подготовленной USB-флешки со скриптами и инструментами для модификации initramfs, внедрения вредоносного кода и его перепаковки, чтобы процесс загрузки прошёл без ошибок.

Поскольку для этого нужны навыки и подготовка, случайные злоумышленники вряд ли смогут воспользоваться уязвимостью. Риск оправдан только при атаке на важные цели — бизнес, IT-инфраструктуру, активистов или политиков.

Пользователи (и системные администраторы) могут изменить параметры ядра, чтобы система перезагружалась после нескольких неудачных попыток ввода пароля, вместо того чтобы предоставлять отладочную оболочку.

>>> Статья на сайте OMG!Ubuntu

Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).

Уязвимость проявляется при выполнении трех условий:

 
1. Используется TLS-библиотека wolfSSL
2. Соединение устанавливается по протоколу HTTP/3 (QUIC).
3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).

( читать дальше... )

>>> CVE-2025-5025

В модуле ksmbd, который обеспечивает встроенную в ядро Linux реализацию SMB-сервера, обнаружена опасная уязвимость (CVE-2025-37899). Она позволяет злоумышленнику выполнить произвольный код на уровне ядра, отправив специально сформированные SMB-пакеты. Интересно, что проблема была выявлена не вручную, а с помощью ИИ-модели OpenAI o3 в ходе автоматизированного аудита безопасности.

Поскольку код модуля ksmbd слишком велик для полного анализа в рамках одного запроса, проверка проводилась поэтапно. ИИ исследовал реализацию отдельных SMB-команд, используя типовые запросы, и в итоге обнаружил use-after-free в обработчике команды logoff.

( читать дальше... )

>>> Подробности (OpenNet)

Дальнейшее существование организации MITRE, деятельность которой связана с ведением базы данных уязвимостей CVE, а также списков видов уязвимостей CWE поставлено под угрозу. Министерство внутренней безопасности США не стало продлевать контракт с организацией в части финансирования работы по назначению идентификаторов уязвимостей. Кроме того, имеет место быть и общее сокращение финансирования, в результате которого только за этот месяц было уволено более 400 сотрудников. Если не будет найдено альтернативного решения по поддержанию деятельности программы, то уже сегодня может быть остановлено присвоение новых идентификаторов.

>>> https://www.opennet.ru/opennews/art.shtml?num=63085

Исследователи из команды Google Security Team обнаружили уязвимость в процессорах AMD Zen 1-4, которая позволяет злоумышленникам с привилегиями локального администратора загружать вредоносные микрокоды. Эта уязвимость связана с использованием небезопасной хеш-функции при проверке подписи микрокодов.

Согласно сообщению Google, уязвимость позволяет злоумышленникам компрометировать конфиденциальные вычислительные нагрузки, защищенные технологией AMD Secure Encrypted Virtualization (SEV-SNP), а также нарушить динамическое измерение корневого доверия (Dynamic Root of Trust Measurement).

( читать дальше... )

>>> Подробности

В qBittorrent была закрыта 14-летняя уязвимость, связанная с некорректной проверкой SSL/TLS-сертификатов. Обновление до версии 5.0.1 устранило эту уязвтмость, которая существовала с 2010 года.

В течение этого времени программа принимала любые сертификаты, включая поддельные, что делало её уязвимой к атаке типа «человек посередине» (MitM). Это позволяло злоумышленникам незаметно изменять сетевой трафик, потенциально подвергая пользователей риску скачивания и выполнения вредоносного кода при обновлении продукта по ссылке из уведомления о выходе новой версии, а так же при загрузке бинарников Python на Windows. Уязвимость была не только теоретической, но и реализуемой на практике.

Так же отсутствие валидации сертификатов позволяло MitM подменять содержимое RSS и базы данных MaxMind Geo IP.

>>> Подробности

В OpenSSH нашли дыру, позволяющую удалённо выполнить код с правами root без аутентификации. Уязвимости подвержены только сервера на Linux с библиотекой glibc, использующие OpenSSH от версии 8.5p1 до 9.7p1 включительно. Проблема заключается в состоянии гонки в обработчиках сигналов.

Атака продемонстрирована пока что только в лабораторных условиях на 32-битных системах и занимает порядка 6-8 часов. 64-битные системы в теории тоже уязвимы, но из-за гораздо большего пространства адресов, используемого для ASLR, эксплуатация пока что не была возможной.

Системы с другими реализациями libc также могут быть подвержены уязвимости. OpenBSD же всё ещё остаётся оплотом безопасности.

>>> Подробный разбор уязвимого кода

>>> Подробности

Эксплойт для 0day-уязвимости уже продаётся на соответствующих форумах.

21 июня на одном из форумов появилась информация о продаже эксплойта к уязвимости нулевого дня в GRUB-загрузчике Linux, позволяющей локальное повышение привилегий (LPE).

По данным Dark Web Intelligence, злоумышленник утверждает, что нашёл уязвимость в GRUB, которая позволяет обойти механизмы аутентификации и получить права root на системе.

Согласно сообщению участника тёмного форума под ником «Cas», уязвимость затрагивает GRUB — критический компонент большинства Linux-систем, управляющий процессом загрузки, что позволяет атакующим устанавливать скрытое и устойчивое вредоносное ПО, обнаружить и устранить которое может быть весьма проблематично. Эксплойт продаётся по цене 90 тысяч долларов.

Стоит отметить, что GRUB уже становился целью для атак в прошлом. Так, в 2015 году была обнаружена уязвимость CVE-2015-8370, позволявшая обойти аутентификацию путём нажатия клавиши backspace 28 раз на этапе ввода имени пользователя в GRUB. Эта уязвимость затронула версии GRUB от 1.98 до 2.02 и широко использовалась до выпуска патча. А в 2020 году была выявлена другая уязвимость — CVE-2020-10713, известная также как BootHole и позволявшая устанавливать вредоносное ПО в процессе загрузки.

Основные дистрибутивы Linux, такие как Debian, RedHat и Ubuntu, оперативно выпускали рекомендации и патчи для предыдущих уязвимостей GRUB и, вероятно, поступят аналогично и в этот раз, однако проблема усугубляется тем, что уязвимость обнаружена злоумышленниками, а не этичными хакерами. Это означает, что её обнаружение и исправление исследователями безопасности может существенно затянуться.

>>> Подробности

В коде NFS-сервера проектов FreeBSD и OpenBSD обнаружена уязвимость CVE-2024-29937, приводящая к удаленному выполнению кода от произвольного пользователя. Проблема существует с самого первого выпуска и затрагивает актуальные релизы OpenBSD 7.4 и FreeBSD 14.0. Детали будут представлены позже в рамках доклада на конференции по безопасности t2, проходящей в Хельсинки 18-19 апреля.

>>> Демо

Kiddy – модуль для ядра Linux, разработанный с целью снижения рисков эксплуатации (некоторых) уязвимостей ядра.

В основе механизма защиты, реализованного в данном модуле, лежит простая идея, которая заключается в том, что в процессе атаки так или иначе происходит идентификация объекта атаки. Поэтому, если затруднить такую идентификацию, можно кратно повысить сложность эксплуатации, т.к. во множестве случаев готовые эксплойты содержат в себе таблицы различного рода смещений (оффсетов), соответствующих целевым версиям ядра.

Например, вот как это сделано для CVE-2017-1000112. Там же можно видеть, что идентификация версии ядра осуществляется с использованием uname.

Разработанный модуль является простым в реализации и позволяет:

• менять идентификацию ядра;
• ограничивать доступ к журналу ядра (dmesg);
• ограничивать доступ к некоторым файлам в /proc, также содержащим идентифицирующую информацию;
• ограничивать доступ к файлам и папкам, потенциально содержащим идентифицирующую информацию;
• менять идентификацию версии ядра, доступную через vDSO.

В процессе сборки модуль позволяет использовать т.н. «пресеты», реализующие различную логику изменения идентификации. Например, используя пресет «windows» можно получить следующее поведение:

До загрузки модуля

$ ./misc/id.sh
** UNAME identidty leaks
 - uname -r
   2.6.32-754.35.1.el6.x86_64
 - uname -v
   #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - uname -a
   Linux localhost.localdomain 2.6.32-754.35.1.el6.x86_64 #1 SMP Sat Nov 7 12:42:14 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
** PROCFS identidty leaks
 - /proc/cmdline
   ro root=/dev/mapper/VolGroup00-LogVol00 rd_NO_LUKS no_timer_check console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16  rd_LVM_LV=VolGroup00/LogVol01 rd_LVM_LV=VolGroup00/LogVol00  KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM rhgb quiet
 - /proc/version
   Linux version 2.6.32-754.35.1.el6.x86_64 (mockbuild@x86-02.bsys.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) ) #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - /proc/sys/kernel/version
   #1 SMP Sat Nov 7 12:42:14 UTC 2020
 - /proc/sys/kernel/osrelease
   2.6.32-754.35.1.el6.x86_64
which: no hostnamectl in (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/vagrant/bin)

После загрузки модуля

$ ./misc/id.sh
** UNAME identidty leaks
 - uname -r
   Windows
 - uname -v
   NT 4.0
 - uname -a
   Linux localhost.localdomain Windows NT 4.0 x86_64 x86_64 x86_64 GNU/Linux
** PROCFS identidty leaks
 - /proc/cmdline
   \EFI\Microsoft\Boot\bootmgfw.efi
 - /proc/version
   Windows NT 4.0
 - /proc/sys/kernel/version
   NT 4.0
 - /proc/sys/kernel/osrelease
   Windows
which: no hostnamectl in (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/vagrant/bin)

Скрипт-кидди не пройдут!

>>> Подробности

В своём бюллетене от 28 февраля NVIDIA раскрыла новые проблемы безопасности драйверов.

Уязвимости, затрагивающие в том числе и Linux-версию драйвера:

• CVE‑2024‑0074, серьёзность — высокая. Уязвимость, благодаря которой злоумышленник может получить доступ к ячейке памяти после окончания буфера. Эксплуатация уязвимости может привести к отказу в обслуживании или подмене данных.
• CVE‑2024‑0078, серьёзность — средняя. Уязвимость, благодаря которой пользователь гостевой среды может вызвать разыменование NULL-указателя в хосте и добиться отказа в обслуживании.
• CVE‑2024‑0075, серьёзность — средняя. Уязвимость, благодаря которой пользователь может вызвать разыменование NULL-указателя и получить доступ к переданным параметрам, валидность которых не была проверена. Успешная эксплуатация этой уязвимости может привести к отказу в обслуживании и ограниченному раскрытию информации.
• CVE‑2022‑42265, серьёзность — средняя. Уязвимость, благодаря которой непривилегированный пользователь может вызвать целочисленное переполнение и добиться к отказа в обслуживании, раскрытии информации и подмены данных.

Рекомендуется обновиться до версии драйвера, в которой эти уязвимости исправлены: 550.54.14 от 23 февраля, 535.161.07 от 22 февраля или 470.239.06 от 22 февраля, либо до более новой версии в соответствующей ветке. Все более ранние версии подвержены этим уязвимостям.

>>> Весь бюллетень

Обнаружена уязвимость в подсистеме Netfilter (CVE-2023-6817), которая, в теории, может быть использована локальным пользователем для повышения своих привилегий в системе. Корень проблемы кроется в использовании освобожденной памяти (use-after-free) в модуле nf_tables, ответственном за функциональность пакетного фильтра nftables.

( читать дальше... )

>>> Подробности

Марк Ньюлин (Marc Newlin), который выявил уязвимость MouseJack семь лет назад, раскрыл информацию о аналогичной уязвимости (CVE-2023-45866), затрагивающей Bluetooth-стеки Android, Linux, macOS и iOS. Эта уязвимость позволяет осуществить подмену нажатий клавиш путем симуляции активности устройства ввода, подключенного по Bluetooth. Получив доступ к клавиатурному вводу, злоумышленник может выполнять различные действия, такие как выполнение команд в системе, установка приложений и перенаправление сообщений.

( читать дальше... )

>>> Подробности

Разработчики FreeBSD выпустили патч для критической уязвимости, связанной с переполнением буфера в утилите ping.

Уязвимости присвоен номер CVE-2022-23093 (9,8 балла — высокий уровень риска). Данная проблема может привести к удалённому выполнению кода при проверке с помощью команды ping внешнего хоста, подконтрольного злоумышленнику.

Уязвимость как обычно связана с халатным отношением разработчиков к проверке выхода за границы буфера.

Функция pr_pack копирует IP- и ICMP-заголовки во внутренние буферы без каких-либо проверок на дополнительные расширенные заголовки, не принимая во внимание то, что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки.

Таким образом, если хост вернет пакет с дополнительными заголовками, произойдет переполнение буфера, и атакующий сможет выполнить произвольный код в системе.

>>> Подробности

Исследователь Sönke Huster из Технического университета Дармштадта опубликовал подробности о 5 уязвимостях в стеке Wi-Fi ядра Linux (mac80211), эксплуатируемых «по воздуху». Три из уязвимостей гипотетически позволяют удалённое исполнение кода (RCE); две другие представляют собой атаки типа «отказ в обслуживании» (DoS).

В основе всех пяти уязвимостей лежит неправильная работа с памятью (переполнения буфера, use-after-free или разыменование нулевых указателей). Для эксплуатации уязвимостей достаточно отправить специальным образом сформированные фреймы Wi-Fi.

Уязвимостям присвоены номера CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722.

Утверждается, что уязвимости (по крайней мере, некоторые из них) были добавлены в первом квартале 2019 года. Уязвимы все версии Linux, начиная с 5.1 или 5.2.

>>> Подробности

Исследователи из Северо-западного Университета в Иллинойсе, Zhenpeng Lin, Yuhang Wu и Xinyu Xing опубликовали данные об уязвимости DirtyCred (идентификатор — CVE-2022-2588). Уязвимыми авторы называют все версии ядра, вышедшие за последние 8 лет.

Уязвимость использует технику use-after-free. Из-за ошибки в файле net/sched/cls_route.c ядро может сначала освободить память, а затем повторно использовать её. В данном случае в памяти размещаются реквизиты доступа, что позволяет злоумышленнику выполнить свою программу с повышенными привилегиями. Для эксплуатации уязвимости необходима программа с SUID битом, доступная злоумышленнику, например, su или sudo.

DirtyCred похожа на мартовскую DirtyPipe, но позволяет больше, например, выход из контейнера.

Прототип эксплоита пока не представлен. Атаки типа use-after-free достаточно сложны в исполнении и не гарантируют стабильный результат, однако обновиться всё-таки стоит.

>>> Подробности

Компании QNAP и Synology заявили о многочисленных критических Netatalk-уязвимостях серверов.

Согласно опубликованному отчёту Synology, с помощью многочисленных уязвимостей удалённые злоумышленники могут получить конфиденциальную информацию и, возможно, выполнить произвольный код с помощью уязвимой версии Synology DiskStation Manager (DSM) и Synology Router Manager (SRM).

Производитель уведомил своих клиентов и о трёх других уязвимостях CVE-2022-23125, CVE-2022-23122 и CVE-2022-0194, позволяющих удаленному злоумышленнику запускать произвольный код на целевых устройствах. Несмотря на то, что в прошлом месяце команда разработчиков Netatalk выпустила исправления безопасности для устранения недостатков, Synology сообщает, что выпуск некоторых из затронутых продуктов все еще «продолжается».

Компания также добавила, что уязвимости Netatalk уже исправлены для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии.

Тайваньский поставщик под брендом QNAP также призывает специалистов отключить AFP-протокол на сетевых хранилищах (Network Attached Storage, NAS) до устранения существующих недостатков. Кроме того, компания объявила об исправлении уязвимости в QTS 4.5.4.2012 build 20220419 и более поздних версиях.

>>> Подробности на новостном портале securitylab

Уязвимость в компоненте pkexec пакета Polkit, идентифицированная как CVE-2021-4034 (PwnKit), присутствует в конфигурации всех основных дистрибутивов Linux и может быть использована для получения привилегий root в системе, предупреждают исследователи из Qualys.

Уязвимый участок кода был отслежен до начального коммита pkexec, более 12 лет назад, что означает, что все текущие версии Polkit затронуты.

Бхарат Джоги, директор по исследованию уязвимостей и угроз в Qualys, пояснил, что PwnKit — это «уязвимость повреждения памяти в Polkit, которая позволяет любому непривилегированному пользователю получить полные привилегии root на уязвимой системе, при использовании конфигурации Polkit по умолчанию».

Код эксплойта для доказательства концепции (PoC), уже стал общедоступным.

>>> Подробности

Wireshark — самый передовой и широко используемый анализатор сетевых протоколов в мире. Текущие релизы связаны с исправлениями серьёзных уязвимостей.

( читать дальше... )

>>> Страница загрузки

>>> Подробности

Опубликована критическая уязвимость CVE-2021-44228 в библиотеке Log4j языка Java. Библиотека разрабатывается с 2001 года в Арасhe Software Foundation и представляет собой фреймворк ведения логов.

( читать дальше... )

Update Dec 15: Описанные выше меры в ряде случаев не полностью закрывают уязвимость. Рекомендуется обновляться сразу до версии 2.16.0.

>>> Официальная страница Log4j

>>> Log4j RCE Exploitation Detection

>>> JNDIExploit

>>> Как работает JNDI Injection

По отдельным проектам

• Jenkins Сам не подвержен, плагины возможно.

• Atlassian (Jira, Bamboo, Confluence..)

• ElasticSearch Уязвимость есть, но не может быть использована, поскольку используется Java Security Manager.

• VMWare

>>> CVE-2021-44228