Menu dostępności

Luki w zabezpieczeniach linuxa

Kilka starych luk w Linuksie wykorzystanych w atakach

Istnieje obiegowa opinia, nie do końca prawdziwa, że Linux jest bezpieczniejszym systemem niż Windows. Oczywiście wszystko zależy od kontekstu i konkretnych instalacji. Wiadomo – porównujemy jabłka z jabłkami, a gruszki z gruszkami.

Ale co tam, jest maj, trzeba dorzucić do grilla. Postanowiliśmy podsunąć argumenty jednej ze stron w tej wieloletniej dyskusji i poinformować, że właśnie kilka dni temu amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała kilka luk związanych z Linuksem do katalogu znanych wykorzystanych luk w zabezpieczeniach (KEV).

A konkretnie, siedem „nowych” luk: zdalne wykonanie kodu Ruckus AP (CVE-2023-25717), eskalacja uprawnień Red Hat Polkit (CVE-2021-3560), eskalacja uprawnień jądra Linuksa (CVE-2014-0196 i CVE-2010-3904), ujawnienie informacji o interfejsie użytkownika Jenkinsa (CVE-2015-5317), zdalne wykonanie kodu Apache Tomcat (CVE-2016-8735) oraz problem z Oracle Java SE i JRockit (CVE-2016-3427).

Najpoważniej eksploatowana jest pierwsza podatność, czyli luka w zabezpieczeniach produktu Ruckus. Została ona wykorzystana przez botnet DDoS o nazwie AndoryuBot.

Wydaje się, że nie ma z kolei żadnych publicznych raportów opisujących wykorzystanie innych luk dodanych do katalogu CISA. Dostępne są za to szczegóły techniczne i exploity typu proof-of-concept (PoC), co nie jest zaskakujące, biorąc pod uwagę, że niektóre z luk są znane od dekady albo i dłużej.

Wspólnym aspektem wszystkich luk jest ich połączenie z systemem spod znaku pingwina, co oczywiście wskazuje, że mogły zostać wykorzystane w atakach na systemy Linux. Zalecenia NIST dotyczące każdej podatności zawierają odniesienia do zawiadomień publikowanych przez różne dystrybucje Linuksa w celu opisania wpływu tych luk i dostępności poprawek.

Przynajmniej część z tych problemów mogła zostać wykorzystana w atakach na urządzenia z Androidem – luki w jądrze Linuksa wykorzystywane w atakach na Androida nie są niczym niezwykłym.

CISA zwróciła również uwagę na związek między dwiema podatnościami. Błąd Apache Tomcat istnieje, ponieważ komponent „nie został zaktualizowany w celu uwzględnienia poprawki Oracle dla CVE-2016-3427”.

Nie jest jednak jasne, czy luki zostały wykorzystane przez tego samego cyberprzestępcę, czy też wiele z tych problemów zostało połączonych lub wykorzystanych w ramach jednego ataku.

Agencja dodaje lukę do swojego katalogu tylko wtedy, gdy ma wiarygodne dowody wykorzystania w środowisku naturalnym. Można zatem spekulować, że istnieją nieformalne informacje o aktywnym wykorzystywaniu tych luk, które jeszcze nie znalazły się w raportach badaczy cyberbezpieczeństwa. To nie pierwszy raz, kiedy CISA jako pierwsza alarmuje o wykorzystaniu luki w zabezpieczeniach Linuksa. Prawie rok temu agencja ostrzegała organizacje przed wykorzystywaniem podatności znanej jako PwnKit. Na Kapitanie o Linuksie również pisaliśmy wielokrotnie.

Popularne

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Ciekawe informacje przynoszą badacze Microsoft. Opisali oni, w jaki sposób często omawiane przez nas ataki na AD mogą posłużyć do przejęcia całego środowiska chmurowego. Jako przykład służy Storm-0501 ...
PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

MalwareAI, czyli złośliwe oprogramowanie oparte na sztucznej inteligencji, jest bliżej, niż oczekiwano. Odkryto pierwszą rodzinę ransomware wykorzystującą systemy sztucznej inteligencji do operacji lokalny...
Popularne oszustwa na WhatsAppie i jak ich uniknąć

Popularne oszustwa na WhatsAppie i jak ich uniknąć

Z ponad dwoma miliardami użytkowników WhatsApp oferuje ogromną pulę potencjalnych celów dla scamerów. Aby jeszcze bardziej skomplikować sprawę, oszuści cały czas zdobywają nowe wyrafinowane umiejętno...
Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Najnowsza kampania phishingowa, ujawniona przez badaczy z Check Point, koncentruje się na firmach z sektora produkcyjnego oraz innych kluczowych elementach łańcuchów dostaw. Jej szczególna złośliwość polega n...
Uwaga! Ataki na użytkowników Apple wykorzystujące lukę zero-day w WhatsAppie!

Uwaga! Ataki na użytkowników Apple wykorzystujące lukę zero-day w WhatsAppie!

O platformie WhatsApp pisaliśmy wielokrotnie. Dzisiaj mamy ku temu kolejny powód. WhatsApp udostępnił szczegóły dotyczące podatności typu zero-day, która została wykorzystana w kampanii szpiegującej, w ukierunk...