В Linux нашли уязвимость, открывающую root-доступ: уже есть эксплойт

Екатерина Быстрова 07 Апреля 2025 - 08:55

...

Исследователь в области кибербезопасности опубликовал технические детали и рабочий эксплойт для уязвимости в ядре Linux — CVE-2023-6931. Брешь, позволяющая локально повысить привилегии до root, получила высокую степень риска (CVSS 7.8).

Теперь это уже не теория — эксплойт доступен публично. Его вполне можно применить в реальных условиях.

Проблема связана с компонентом perf_event, предназначенным для сбора данных о производительности. При использовании флага PERF_FORMAT_GROUP можно читать несколько счётчиков сразу, сгруппированных под одним «лидером».

Размер буфера, в который считываются данные, отслеживается 16-битной переменной read_size. Если создать слишком много событий, это значение может переполниться, и ядро выделит недостаточно памяти.

Затем функция perf_read_group() выходит за пределы буфера и начинает записывать данные в соседние участки кучи — это и есть проблема записи за пределами границ.

Эксплойт использует технику heap spraying и объекты netlink socket. Злоумышленник размещает объект сокета рядом с уязвимым буфером и затирает два указателя на функции внутри этого объекта. Один из этих указателей позволяет обойти защиту KASLR, второй — запускает ROP-цепочку, которая даёт злоумышленнику root-доступ.

Уязвимость присутствует в ядре с версии 3.16, выпущенной ещё в 2014 году — она появилась с коммитом fa8c269353d5. Полностью устранена она была только в версии 6.7, через коммит 382c27f4ed28. Другими словами, проблема существовала почти 10 лет.

Теперь, когда подробности и PoC-эксплойт опубликованы на GitHub, уязвимость становится особенно опасной. Администраторам Linux-систем настоятельно рекомендуется обновиться до ядра версии 6.7 или как минимум установить патч, устраняющий CVE-2023-6931.

Напомним, в прошлом месяце мы писали про новую версию ядра Linux 6.14.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 05 Февраля 2026 - 12:50

Бэкдоры Трояны Фишинг Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Группа Stan Ghouls усилила атаки в СНГ и заинтересовалась IoT

«Лаборатория Касперского» разобрала свежую кампанию кибергруппы Stan Ghouls, которая в конце 2025 года активно атаковала организации в странах СНГ — от России до Казахстана, Кыргызстана и Узбекистана. Под удар попали финансовые компании, промышленные предприятия и ИТ-бизнес. В целом набор инструментов у злоумышленников остался прежним, но инфраструктуру они заметно обновили, плюс, похоже, начали присматриваться к атакам на IoT.

Stan Ghouls ведёт целевые кампании как минимум с 2023 года и уже успела выработать узнаваемый почерк.

Группировка использует собственные вредоносные загрузчики на Java и регулярно «освежает» инфраструктуру, регистрируя новые домены под каждую волну атак. Основной интерес злоумышленников, по оценке экспертов, по-прежнему связан с финансовой выгодой, но элементы кибершпионажа тоже не исключаются.

Сценарий атак выглядит классически, но исполнен аккуратно. Всё начинается с фишинговых писем с вредоносными PDF-вложениями. Письма тщательно подгоняются под конкретных жертв и пишутся на локальных языках.

Часто они маскируются под официальные уведомления — например, «предупреждение от прокуратуры» или «постановление районного суда». Внутри PDF скрыта ссылка: переход по ней запускает вредоносный загрузчик. Отдельно жертву просят установить Java, якобы без неё документ нельзя открыть.

После этого загрузчик скачивает легитимный софт для удалённого администрирования — NetSupport, который злоумышленники используют для полного контроля над заражённой системой. Ранее ключевым инструментом Stan Ghouls был коммерческий RAT STRRAT (он же Strigoi Master), и группа продолжает полагаться на проверенные решения, не меняя их без необходимости.

По данным «Лаборатории Касперского», в рамках этой кампании злоумышленники атаковали более 60 целей — довольно внушительное число для таргетированной операции. Это говорит о наличии ресурсов для ручного управления десятками скомпрометированных устройств одновременно.

Отдельный интерес вызвал один из доменов, использовавшихся в прошлых кампаниях группы. На нём исследователи обнаружили файлы, связанные с известным IoT-зловредом Mirai. Это может указывать на расширение арсенала Stan Ghouls и попытки группы попробовать себя в атаках на умные устройства.

Эксперты продолжают отслеживать активность группировки и предупреждать клиентов о новых кампаниях.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »