Раскрыты подробности о root-уязвимости в ядре Linux

Александр Панасенко 30 Марта 2017 - 12:13

...

Раскрыты подробности о root-уязвимости в ядре Linux

Опубликованы сведения о 0-day уязвимости в ядре Linux (CVE-2017-7184), которая была использована на соревновании Pwn2Own 2017 для демонстрации атаки на Ubuntu Linux, позволившей локальному пользователю выполнить код с правами root.

Уязвимость вызвана ошибкой во фреймворке преобразования сетевых пакетов XFRM, применяемом для реализации IPsec. В функции xfrm_replay_verify_len(), вызываемой из xfrm_new_ae(), не выполнялась проверка заданного пользователем параметра replay_window, записываемого в буфер состояний. Манипулируя содержимым, связанным с данным параметром, атакующий может организовать запись и чтение данных в областях памяти ядра за пределами выделенного буфера.

Несмотря на то, что эксплуатация была продемонстрирована в Ubuntu, проблема не специфична для данного дистрибутива и проявляется в любых других системах на базе ядра Linux. Как и в нескольких предыдущих root-уязвимостях в ядре, проблема может быть эксплуатирована только при включении пространств имён для идентификаторов пользователей (user namespaces). Например, пакеты с ядром для Ubuntu и Fedora уязвимы по умолчанию, а ядро Debian и RHEL/CentOS 7 может быть атаковано только после явной активации поддержки "user namespaces" (sysctl kernel.unprivileged_userns_clone=1). Атака также затруднена на старые системы с версиями ядра меньше 3.9 из-за в них отсутствия поддержки "user namespaces", пишет opennet.ru.

При проведении атаки "user namespaces" используется для получения обычным пользователем прав CAP_NET_ADMIN, необходимых для настройки параметров XFRM. Так как создаваемое через "user namespaces" изолированное окружение и основная система обслуживаются одним ядром Linux, то эксплуатация уязвимости в ядре из контейнера позволяет обойти ограничения контейнерной изоляции и получить привилегированный доступ к основной системе.

Для ядра Linux исправление доступно в виде патчей. Обновления пакетов пока выпущены только для Ubuntu, openSUSE, SUSE Linux Enterprise 12. Проблема остаётся неисправленной в Fedora, Debian и CentOS/RHEL 7. Уязвимость не затрагивает SLE 11, RHEL 5 и RHEL 6.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Марта 2026 - 09:49

Трояны Программы-вымогатели Программы-шифровальщики Хактивизм Общее

Telegram стал главным хабом киберпреступников вместо Tor

Telegram всё чаще упоминают не только как удобный мессенджер, но и как ключевую площадку для киберпреступников. По данным нового отчёта аналитиков Cyfirma, платформа фактически стала «операционным центром» современной киберпреступности.

Раньше главным символом цифрового подполья были закрытые форумы в сети Tor. Попасть туда было непросто, а после каждого рейда правоохранителей целые криминальные экосистемы рушились в один день.

Telegram, по мнению исследователей, оказался куда более живучей альтернативой. Если канал блокируют, его можно пересоздать за минуты и перенаправить подписчиков на резервную площадку.

Cyfirma называет происходящее «платформизацией киберпреступности». Незаконные сервисы всё больше напоминают легальный ИТ-бизнес: подписки, автоматизация, обновления, техподдержка, реклама в режиме реального времени. Чтобы запустить атаку, уже не обязательно быть опытным разработчиком — достаточно аккаунта в Telegram и небольшого бюджета.

Внутри таких каналов, отмечают в Cyfirma, продаются самые разные услуги — например, доступ ко взломанным корпоративным сетям. Распространены схемы «вредонос как услуга»: подписка на зловред с обновлениями и инструкциями. Есть и автоматизированные боты, позволяющие искать по базам утёкших паролей и банковских данных прямо внутри мессенджера.

Telegram используется не только как рынок, но и как инструмент давления. Хактивисты применяют его для координации атак и распространения пропаганды. Группы, занимающиеся вымогательством, публикуют там таймеры обратного отсчёта и фрагменты похищенных данных, усиливая психологическое давление на жертву.

При этом даркнет никуда не исчез, но его роль изменилась. Если раньше сделки заключались на скрытых форумах, то теперь они часто начинаются там, а основная деятельность переносится в Telegram.

Как отмечают в Cyfirma, мессенджер не заменил Tor полностью, а стал его логичным продолжением — более быстрым, масштабируемым и доступным. И это делает цифровое подполье гораздо ближе к обычному пользователю, чем раньше.

Напомним, в прошлом месяце российские власти приняли решение начать работу по замедлению мессенджера Telegram в России. Чуть позже Песков заявил, что в Telegram фиксируется большое количество контента, который «потенциально может представлять опасность для России».

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!