Menu dostępności

Luki w zabezpieczeniach linuxa

Kilka starych luk w Linuksie wykorzystanych w atakach

Istnieje obiegowa opinia, nie do końca prawdziwa, że Linux jest bezpieczniejszym systemem niż Windows. Oczywiście wszystko zależy od kontekstu i konkretnych instalacji. Wiadomo – porównujemy jabłka z jabłkami, a gruszki z gruszkami.

Ale co tam, jest maj, trzeba dorzucić do grilla. Postanowiliśmy podsunąć argumenty jednej ze stron w tej wieloletniej dyskusji i poinformować, że właśnie kilka dni temu amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała kilka luk związanych z Linuksem do katalogu znanych wykorzystanych luk w zabezpieczeniach (KEV).

A konkretnie, siedem „nowych” luk: zdalne wykonanie kodu Ruckus AP (CVE-2023-25717), eskalacja uprawnień Red Hat Polkit (CVE-2021-3560), eskalacja uprawnień jądra Linuksa (CVE-2014-0196 i CVE-2010-3904), ujawnienie informacji o interfejsie użytkownika Jenkinsa (CVE-2015-5317), zdalne wykonanie kodu Apache Tomcat (CVE-2016-8735) oraz problem z Oracle Java SE i JRockit (CVE-2016-3427).

Najpoważniej eksploatowana jest pierwsza podatność, czyli luka w zabezpieczeniach produktu Ruckus. Została ona wykorzystana przez botnet DDoS o nazwie AndoryuBot.

Wydaje się, że nie ma z kolei żadnych publicznych raportów opisujących wykorzystanie innych luk dodanych do katalogu CISA. Dostępne są za to szczegóły techniczne i exploity typu proof-of-concept (PoC), co nie jest zaskakujące, biorąc pod uwagę, że niektóre z luk są znane od dekady albo i dłużej.

Wspólnym aspektem wszystkich luk jest ich połączenie z systemem spod znaku pingwina, co oczywiście wskazuje, że mogły zostać wykorzystane w atakach na systemy Linux. Zalecenia NIST dotyczące każdej podatności zawierają odniesienia do zawiadomień publikowanych przez różne dystrybucje Linuksa w celu opisania wpływu tych luk i dostępności poprawek.

Przynajmniej część z tych problemów mogła zostać wykorzystana w atakach na urządzenia z Androidem – luki w jądrze Linuksa wykorzystywane w atakach na Androida nie są niczym niezwykłym.

CISA zwróciła również uwagę na związek między dwiema podatnościami. Błąd Apache Tomcat istnieje, ponieważ komponent „nie został zaktualizowany w celu uwzględnienia poprawki Oracle dla CVE-2016-3427”.

Nie jest jednak jasne, czy luki zostały wykorzystane przez tego samego cyberprzestępcę, czy też wiele z tych problemów zostało połączonych lub wykorzystanych w ramach jednego ataku.

Agencja dodaje lukę do swojego katalogu tylko wtedy, gdy ma wiarygodne dowody wykorzystania w środowisku naturalnym. Można zatem spekulować, że istnieją nieformalne informacje o aktywnym wykorzystywaniu tych luk, które jeszcze nie znalazły się w raportach badaczy cyberbezpieczeństwa. To nie pierwszy raz, kiedy CISA jako pierwsza alarmuje o wykorzystaniu luki w zabezpieczeniach Linuksa. Prawie rok temu agencja ostrzegała organizacje przed wykorzystywaniem podatności znanej jako PwnKit. Na Kapitanie o Linuksie również pisaliśmy wielokrotnie.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...