Menu dostępności

Luki w zabezpieczeniach linuxa

Kilka starych luk w Linuksie wykorzystanych w atakach

Istnieje obiegowa opinia, nie do końca prawdziwa, że Linux jest bezpieczniejszym systemem niż Windows. Oczywiście wszystko zależy od kontekstu i konkretnych instalacji. Wiadomo – porównujemy jabłka z jabłkami, a gruszki z gruszkami.

Ale co tam, jest maj, trzeba dorzucić do grilla. Postanowiliśmy podsunąć argumenty jednej ze stron w tej wieloletniej dyskusji i poinformować, że właśnie kilka dni temu amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała kilka luk związanych z Linuksem do katalogu znanych wykorzystanych luk w zabezpieczeniach (KEV).

A konkretnie, siedem „nowych” luk: zdalne wykonanie kodu Ruckus AP (CVE-2023-25717), eskalacja uprawnień Red Hat Polkit (CVE-2021-3560), eskalacja uprawnień jądra Linuksa (CVE-2014-0196 i CVE-2010-3904), ujawnienie informacji o interfejsie użytkownika Jenkinsa (CVE-2015-5317), zdalne wykonanie kodu Apache Tomcat (CVE-2016-8735) oraz problem z Oracle Java SE i JRockit (CVE-2016-3427).

Najpoważniej eksploatowana jest pierwsza podatność, czyli luka w zabezpieczeniach produktu Ruckus. Została ona wykorzystana przez botnet DDoS o nazwie AndoryuBot.

Wydaje się, że nie ma z kolei żadnych publicznych raportów opisujących wykorzystanie innych luk dodanych do katalogu CISA. Dostępne są za to szczegóły techniczne i exploity typu proof-of-concept (PoC), co nie jest zaskakujące, biorąc pod uwagę, że niektóre z luk są znane od dekady albo i dłużej.

Wspólnym aspektem wszystkich luk jest ich połączenie z systemem spod znaku pingwina, co oczywiście wskazuje, że mogły zostać wykorzystane w atakach na systemy Linux. Zalecenia NIST dotyczące każdej podatności zawierają odniesienia do zawiadomień publikowanych przez różne dystrybucje Linuksa w celu opisania wpływu tych luk i dostępności poprawek.

Przynajmniej część z tych problemów mogła zostać wykorzystana w atakach na urządzenia z Androidem – luki w jądrze Linuksa wykorzystywane w atakach na Androida nie są niczym niezwykłym.

CISA zwróciła również uwagę na związek między dwiema podatnościami. Błąd Apache Tomcat istnieje, ponieważ komponent „nie został zaktualizowany w celu uwzględnienia poprawki Oracle dla CVE-2016-3427”.

Nie jest jednak jasne, czy luki zostały wykorzystane przez tego samego cyberprzestępcę, czy też wiele z tych problemów zostało połączonych lub wykorzystanych w ramach jednego ataku.

Agencja dodaje lukę do swojego katalogu tylko wtedy, gdy ma wiarygodne dowody wykorzystania w środowisku naturalnym. Można zatem spekulować, że istnieją nieformalne informacje o aktywnym wykorzystywaniu tych luk, które jeszcze nie znalazły się w raportach badaczy cyberbezpieczeństwa. To nie pierwszy raz, kiedy CISA jako pierwsza alarmuje o wykorzystaniu luki w zabezpieczeniach Linuksa. Prawie rok temu agencja ostrzegała organizacje przed wykorzystywaniem podatności znanej jako PwnKit. Na Kapitanie o Linuksie również pisaliśmy wielokrotnie.

Popularne

PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

MalwareAI, czyli złośliwe oprogramowanie oparte na sztucznej inteligencji, jest bliżej, niż oczekiwano. Odkryto pierwszą rodzinę ransomware wykorzystującą systemy sztucznej inteligencji do operacji lokalny...
Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Najnowsza kampania phishingowa, ujawniona przez badaczy z Check Point, koncentruje się na firmach z sektora produkcyjnego oraz innych kluczowych elementach łańcuchów dostaw. Jej szczególna złośliwość polega n...
Popularne oszustwa na WhatsAppie i jak ich uniknąć

Popularne oszustwa na WhatsAppie i jak ich uniknąć

Z ponad dwoma miliardami użytkowników WhatsApp oferuje ogromną pulę potencjalnych celów dla scamerów. Aby jeszcze bardziej skomplikować sprawę, oszuści cały czas zdobywają nowe wyrafinowane umiejętno...
Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
Citrix NetScaler pod ostrzałem – groźny zero-day umożliwia zdalne przejęcie systemów

Citrix NetScaler pod ostrzałem – groźny zero-day umożliwia zdalne przejęcie systemów

26 sierpnia 2025 roku agencja CISA (Cybersecurity and Infrastructure Security Agency) wydała alarmujące ostrzeżenie dotyczące krytycznej i aktywnie wykorzystywanej luki zero-day w urządzeniach Citrix NetS...