Kilka starych luk w Linuksie wykorzystanych w atakach

Ale co tam, jest maj, trzeba dorzucić do grilla. Postanowiliśmy podsunąć argumenty jednej ze stron w tej wieloletniej dyskusji i poinformować, że właśnie kilka dni temu amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała kilka luk związanych z Linuksem do katalogu znanych wykorzystanych luk w zabezpieczeniach (KEV).

A konkretnie, siedem „nowych” luk: zdalne wykonanie kodu Ruckus AP (CVE-2023-25717), eskalacja uprawnień Red Hat Polkit (CVE-2021-3560), eskalacja uprawnień jądra Linuksa (CVE-2014-0196 i CVE-2010-3904), ujawnienie informacji o interfejsie użytkownika Jenkinsa (CVE-2015-5317), zdalne wykonanie kodu Apache Tomcat (CVE-2016-8735) oraz problem z Oracle Java SE i JRockit (CVE-2016-3427).

Najpoważniej eksploatowana jest pierwsza podatność, czyli luka w zabezpieczeniach produktu Ruckus. Została ona wykorzystana przez botnet DDoS o nazwie AndoryuBot.

Wydaje się, że nie ma z kolei żadnych publicznych raportów opisujących wykorzystanie innych luk dodanych do katalogu CISA. Dostępne są za to szczegóły techniczne i exploity typu proof-of-concept (PoC), co nie jest zaskakujące, biorąc pod uwagę, że niektóre z luk są znane od dekady albo i dłużej.

Wspólnym aspektem wszystkich luk jest ich połączenie z systemem spod znaku pingwina, co oczywiście wskazuje, że mogły zostać wykorzystane w atakach na systemy Linux. Zalecenia NIST dotyczące każdej podatności zawierają odniesienia do zawiadomień publikowanych przez różne dystrybucje Linuksa w celu opisania wpływu tych luk i dostępności poprawek.

Przynajmniej część z tych problemów mogła zostać wykorzystana w atakach na urządzenia z Androidem – luki w jądrze Linuksa wykorzystywane w atakach na Androida nie są niczym niezwykłym.

CISA zwróciła również uwagę na związek między dwiema podatnościami. Błąd Apache Tomcat istnieje, ponieważ komponent „nie został zaktualizowany w celu uwzględnienia poprawki Oracle dla CVE-2016-3427”.

Nie jest jednak jasne, czy luki zostały wykorzystane przez tego samego cyberprzestępcę, czy też wiele z tych problemów zostało połączonych lub wykorzystanych w ramach jednego ataku.

Agencja dodaje lukę do swojego katalogu tylko wtedy, gdy ma wiarygodne dowody wykorzystania w środowisku naturalnym. Można zatem spekulować, że istnieją nieformalne informacje o aktywnym wykorzystywaniu tych luk, które jeszcze nie znalazły się w raportach badaczy cyberbezpieczeństwa. To nie pierwszy raz, kiedy CISA jako pierwsza alarmuje o wykorzystaniu luki w zabezpieczeniach Linuksa. Prawie rok temu agencja ostrzegała organizacje przed wykorzystywaniem podatności znanej jako PwnKit. Na Kapitanie o Linuksie również pisaliśmy wielokrotnie.