Специалисты по кибербезопасности выявили новую уязвимость в ОС Linux, получившую неофициальное название Copy Fail, которая позволяет злоумышленнику, обладающему доступом к системе с правами обычного пользователя, повысить привилегии до уровня администратора (root). Уязвимость затрагивает системы, выпущенные за последние годы, начиная с 2017?го. Основная особенность — крайне простая эксплуатация и наличие публичного эксплоита. Об этом CNews сообщили представители BI.Zone.
Уязвимость присутствует в Linux?ядрах, используемых с 2017 г. Linux остается одной из самых распространенных операционных систем в мире, и это означает, что проблема уязвимости в ядре потенциально затрагивает широкий спектр Linux?систем: серверы (физические и виртуальные); облачную инфраструктуру (IaaS/PaaS); контейнерные среды (Docker, Kubernetes?ноды); CI/CD?раннеры и сборочные агенты; виртуальные машины и гипервизоры на базе Linux; встраиваемые системы (embedded-/IoT?устройства); сетевое оборудование на Linux (роутеры, шлюзы, фаервол); рабочие станции и десктопы на Linux.
По оценкам Fortune Business Insights, по состоянию на 2025 г. объем мирового рынка серверных операционных систем составил 29 млн 539 тыс. единиц. Эксперты прогнозируют, что сегмент Linux будет доминировать на глобальном рынке с долей 63,73% в 2026 г. Из чего следует, что десятки миллионов серверов как на мировом рынке, так и на рынке России потенциально подвержены угрозе.
Эксплуатация уязвимости дает возможность злоумышленнику, имеющему доступ к системе с правами обычного пользователя, получить полный контроль над устройством. Публичная доступность proof?of?concept (PoC) делает уязвимость опасной: ее могут использовать не только высококвалифицированные атакующие, но и менее опытные злоумышленники. Уязвимости присвоен высокий (high) уровень опасности, однако она не относится к категории катастрофических по одной причине: для ее эксплуатации требуется предварительный доступ к системе.
Это означает, что: внешнему атакующему необходимо сначала скомпрометировать систему, получив к ней доступ от имени любого пользователя; если нарушитель или атакующий уже получил доступ и находится внутри, то риск становится максимальным.
Основной способ исправления уязвимости — обновление ядра до последней версии. Большинство вендоров уже выпустили исправление. В случае невозможности обновления ядра временная мера — отключение модуля algif_aead, если это не нарушает работу системы.
«Главная проблема с митигацией Copy Fail — это не выпустить патч, а в том, чтобы реально донести его до всех уязвимых систем. Linux стоит не только на серверах в дата?центрах, но и в роутерах, модемах, IoT?устройствах, носимых гаджетах, терминалах, промышленных системах и во многих других. На обычных серверах обновление ядра часто требует перезагрузки, а это окна обслуживания, согласования и риски. В устройствах и во встроенных системах все еще сложнее: там обновление зависит от производителя, а он может выпустить прошивку поздно или не выпустить вообще, потому что многие устройства за период с 2017 по 2022 г. — это уже легаси?системы. Уязвимость, вероятнее всего, быстро закроют в облаках, Kubernetes?кластерах и на критичных серверах. Но длинный хвост старых и забытых Linux?систем будет оставаться уязвимым еще годами. С другой стороны, не на всех этих системах эксплуатация уязвимости приведет к сильным бизнес?рискам», — Михаил Сидорук, руководитель управления анализа защищенности.
Рекомендации от команды offensive BI.Zone. Организациям следует: регулярно обновлять используемое программное обеспечение; ограничивать пользовательский доступ к критическим системам; усиливать изоляцию сред (контейнеры, песочницы); проводить регулярный аудит прав и сценариев выполнения кода.
Поделиться
