Dirty Frag: die deterministische Schwachstelle von Linux, die es Ihnen ermöglicht, root mit einem einzigen Befehl zu erhalten

Details einer neuen lokalen Schwachstelle der Privilegeskalation im nicknamed Linux-Kernel sind entstanden Dirty Frag, die zwei Schreibfehler im Cache von Seiten kombiniert, um Root-Privilegien ohne die Notwendigkeit von Karrierebedingungen zu erhalten. Laut der von Hyunwoo Kim veröffentlichten Forschung verknüpft die Ausbeutung eine Schwachstelle im IPSec Subsystem (xfrm-ESP Page-Cache Write) mit einem anderen in RxRPC (RxRPC Page-Cache Write), und seine Natur ist Determinist, nicht abhängig von Zeitfenstern, die die Erfolgsquote und Risikoschwere für unpatched Systeme deutlich erhöht.

Das Problem ist besonders relevant, weil es Empfangspfade berührt, in denen der Kernel direkt auf Seiten disfiguriert, die tatsächlich von Benutzerprozessen angesprochen werden (z.B. durch Spin / Sendfile oder MSG _ SPLICE _ PAGES), die flachen Text freisetzen oder verfälschen können, den ein nichtprivilegierter Prozess noch beibehält. Die Kombination umfasst komplementäre Szenarien: In Distributionen, die die Erstellung von Benutzernamensbereichen ermöglichen, kann der IPSec-Angriff ausgeführt werden, während in Ubuntu - wo die Namensräume-Erstellung durch AppArmor blockiert wird - das standardmäßig geladene rxrpc-Modul die andere Variante ermöglicht. Dies bedeutet, dass viele beliebte Distributionen ausgesetzt sind(erwähnt unter ihnen Ubuntu 24.04.4, RHEL 10.1, Fedora 44, CentOS Stream 10, AlmaLinux 10 und openSUSE Tumbleweed), und es gibt bereits einen funktionellen Konzepttest, der es ermöglicht, root mit einem einzigen Befehl zu bekommen, der die Dringlichkeit erhöht.

Aus historischer Sicht erinnern sich die beteiligten Vektoren an frühere Versagen der Dirty Pipe und Copy Fail Familie, aber Dirty Frag nicht vom Algif abhängig _ aead Modul oder ihrer bekannten Minderung, so dass bisher "getrennte" Systeme gegen Copy Fail verletzlich bleiben können. Darüber hinaus gehen die Wurzeln des Problems auf die Verpflichtungen des 2017 und 2023 Kernels zurück, was unterstreicht, wie alte Änderungen neue und gefährliche Ketten Jahre später ermöglichen können.

Während Kernel-Betreuer auf Patches arbeiten, sind temporäre Minderungsmaßnahmen entscheidend, um die Angriffsfläche auf Servern und Workstations, die lokalen Benutzern oder Multiuser-Umgebungen ausgesetzt sind, zu reduzieren. Zu den effektivsten und risikoarmen Aktionen gehören das Laden der betreffenden Module vermeiden(es4, es6 und rxrpc) bis ein offizieller Patch kommt; dies kann durch die Erstellung von Regeln in / etc / modson.d / erreicht werden, die das automatische Laden des Moduls verhindern oder seine Installation in / bin / false umleiten, und durch die Überprüfung der Abwesenheit mit lsmod. Eine weitere ergänzende Minderung besteht darin, das Klonen von Namensräumen durch nichtprivilegierte Benutzer (sysctl kernel.unprivileged _ userns _ clone = 0) und in Ubuntu-Umgebungen zu deaktivieren, um die Richtlinie von AppArmor zu überprüfen, weil es in vielen Fällen den ersten Vektor (xfrm) durch Blockierung der Erstellung von Benutzernamenspaces verhindert. Für weitere Informationen, wie und wo die Last der Module verwaltet werden, sehen Sie die offizielle Dokumentation des Kernels in Kernel.org - Modulmanagement und die AppArmor-Dokumentation, die Canonical beibehält Ubuntu - AppArmor.

Es ist wichtig, diese Minderung mit einem operationellen Kriterium zu planen: Blockierung von Modulen, die mit IPSec oder RxRPC verbunden sind, kann einen funktionellen Einfluss auf Dienste haben, die von IPSec / ESP oder dem RxRPC-Kern abhängen, so dass die Wirkung auf Anwendungen und Konnektivität vor der Anwendung von Produktionsänderungen bewertet werden sollte. Außerdem behalten Sie Zugriffskontrollen auf lokale Konten bei, beschränken Sie die Möglichkeit, binär von unzuverlässigen Benutzern anzuheben und zu laufen, ändern Sie die SUID / SGID-Dateien und überwachen die Betriebssignale (Erzeugen von Shells mit Privilegien, ungewöhnliche Belastung von Modulen, Aktivität unbekannter Prozesse).

Schließlich, wenn die offiziellen Patches verfügbar sind, wenden Sie sie mit Priorität an und überprüfen Sie, ob der aktualisierte Kernel die betreffenden Referenzen effektiv korrigiert. Langfristig unterstreicht dieser Vorfall erneut die Notwendigkeit, die Angriffsfläche in exponierten Wirten zu minimieren: unnötige Module deaktivieren, weniger privilegierte Prinzipien für lokale Benutzer anwenden und Basisbilder so einfach wie möglich halten reduziert die Wahrscheinlichkeit, dass Ketten wie Dirty Frag in ihrer Umgebung ausgenutzt werden. Um dem Zustand der Sicherheitslücken und Aktualisierungen vertrauenszentrale Quellen wie die NVD und den offiziellen Kernelbaum zu folgen: NVD - Nationale Schwachstelle Datenbank und Kernel.org.