Linux

Исследователи из Qualys раскрыли сразу девять уязвимостей в AppArmor — одном из базовых защитных механизмов Linux. Эту группу дыр назвали CrackArmor. Опасность в том, что баги позволяют локальному непривилегированному пользователю обойти защитные механизмы, повысить привилегии до root и в отдельных сценариях выбраться за пределы контейнера.

Linux-руткиты долго оставались где-то в тени по сравнению с Windows-аналогами, но сейчас ситуация меняется. Причина понятная: Linux всё плотнее сидит в облаках, контейнерах, IoT и корпоративной инфраструктуре, а значит, и интерес злоумышленников к нему растёт. Исследователи из Elastic обратили внимание на новую тенденцию: современные Linux-руткиты всё чаще прячутся не в «экзотике», а во вполне легитимных механизмах ядра — eBPF и io_uring.

Во встраиваемых компьютерах Moxa обнаружена уязвимость, позволяющая при запуске девайса получить криптоключи LUKS в открытом виде путем пассивного мониторинга SPI-шины, соединяющей дискретный TPM с системой на чипе.

В России оказался недоступен сервис git.kernel.org, через который разработчики получают обновления исходного кода ядра Linux. Крупные участники сообщества подтвердили проблему и связали её с действиями Роскомнадзора. Сам регулятор свою причастность отрицает.

Специалисты по киберразведке из Flare обнаружили Linux-ботнет, операторы которого отдали предпочтение надежности, а не скрытности. Для наращивания потенциала SSHStalker использует шумные SSH-сканы и 15-летние уязвимости, для C2-связи — IRC.

Релизы ядра Linux долгое время интересовали в основном серверных администраторов и энтузиастов. Но с ростом популярности Steam Deck, SteamOS и игровых компьютеров на Linux ситуация меняется. И грядущий Linux Kernel 7.0 как раз из тех обновлений, на которые стоит обратить внимание не только серверщикам.

Разработчики WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) наконец-то решились на шаг, которого пользователи ждали годами. Мессенджер начал постепенно включать голосовые и видеозвонки прямо в WhatsApp Web, без установки десктопного приложения. Пока функция доступна не всем, но процесс уже запущен.

Исследователи из Cisco Talos рассказали о ранее неизвестном вредоносном фреймворке под названием DKnife, который как минимум с 2019 года используется в шпионских кампаниях для перехвата и подмены сетевого трафика прямо на уровне сетевых устройств.

Исследователи обнаружили ShadowHS — продвинутый бесфайловый фреймворк для атак на Linux, который заметно отличается от привычных вредоносных программ. Это не очередной бинарник, который можно поймать антивирусом, а полноценный инструмент постэксплуатации, целиком работающий в памяти и рассчитанный на долгую и аккуратную работу внутри защищённых корпоративных сред.