В Linux нашли уязвимость, открывающую root-доступ: уже есть эксплойт

Екатерина Быстрова 07 Апреля 2025 - 08:55

...

Исследователь в области кибербезопасности опубликовал технические детали и рабочий эксплойт для уязвимости в ядре Linux — CVE-2023-6931. Брешь, позволяющая локально повысить привилегии до root, получила высокую степень риска (CVSS 7.8).

Теперь это уже не теория — эксплойт доступен публично. Его вполне можно применить в реальных условиях.

Проблема связана с компонентом perf_event, предназначенным для сбора данных о производительности. При использовании флага PERF_FORMAT_GROUP можно читать несколько счётчиков сразу, сгруппированных под одним «лидером».

Размер буфера, в который считываются данные, отслеживается 16-битной переменной read_size. Если создать слишком много событий, это значение может переполниться, и ядро выделит недостаточно памяти.

Затем функция perf_read_group() выходит за пределы буфера и начинает записывать данные в соседние участки кучи — это и есть проблема записи за пределами границ.

Эксплойт использует технику heap spraying и объекты netlink socket. Злоумышленник размещает объект сокета рядом с уязвимым буфером и затирает два указателя на функции внутри этого объекта. Один из этих указателей позволяет обойти защиту KASLR, второй — запускает ROP-цепочку, которая даёт злоумышленнику root-доступ.

Уязвимость присутствует в ядре с версии 3.16, выпущенной ещё в 2014 году — она появилась с коммитом fa8c269353d5. Полностью устранена она была только в версии 6.7, через коммит 382c27f4ed28. Другими словами, проблема существовала почти 10 лет.

Теперь, когда подробности и PoC-эксплойт опубликованы на GitHub, уязвимость становится особенно опасной. Администраторам Linux-систем настоятельно рекомендуется обновиться до ядра версии 6.7 или как минимум установить патч, устраняющий CVE-2023-6931.

Напомним, в прошлом месяце мы писали про новую версию ядра Linux 6.14.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Сентября 2025 - 11:16

Android Трояны Домашние пользователи Корпорации F6

F6 и RuStore заблокировали 604 домена с Android-трояном DeliveryRAT

Аналитики F6 вместе с RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру мошенников. Те распространяли Android-троян DeliveryRAT, крадущий деньги и личные данные пользователей.

Зловред прятался под видом приложений для доставки еды, маркетплейсов, банковских сервисов и трекинга посылок. Эксперты связывают его работу как минимум с тремя скам-группами.

Впервые DeliveryRAT обнаружили летом 2024 года. Его главная задача — воровать персональные данные, чтобы оформлять кредиты в МФО или выводить деньги через онлайн-банкинг.

Позднее выяснилось, что зловред распространяется по схеме Malware-as-a-Service: в телеграм-ботах типа «Bonvi Team» злоумышленники генерировали ссылки на поддельные сайты, где пользователи скачивали заражённые APK-файлы.

Как заражают жертв:

через фейковые маркетплейсы — обещают дешёвый товар и «ссылку для отслеживания посылки»;
через поддельные вакансии — собирают данные кандидатов и предлагают «установить рабочее приложение»;
через рекламу в соцсетях и мессенджерах — кидают ссылки на вредоносные сайты.

«Мошенники выстраивали целые сценарии — от фейковых объявлений о купле-продаже до обещаний удалённой работы. А затем переводили общение в мессенджеры и убеждали скачать приложение, которое оказывалось трояном», — рассказал Евгений Егоров, аналитик F6.

Для отслеживания таких схем F6 использует систему графового анализа, которая помогает выявлять связанные сайты. Совместно с RuStore удалось быстро заблокировать сотни доменов, задействованных в инфраструктуре злоумышленников.

В RuStore напоминают: злоумышленники постоянно меняют ключевые слова и внешний вид приложений, чтобы обмануть защитные механизмы и пользователей.