Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.
Sadržaj objave
Ključni podaci ZDNET-a za van
- Uz jedan kompromitirani račun, Dirty Frag može razotkriti vaš sustav.
- Još vas niti jedna zakrpa ne može zaštititi od svih mogućih napada.
- Kako biste bili sigurni, morat ćete blokirati nekoliko usluga, uključujući VPN-ove.
Linux je imao nekoliko teških tjedana. Prvo, istraživači umjetne inteligencije otkrili su sigurnosnu rupu Copy Fail. U tom slučaju, zakrpe su brzo napravljene i distribuirane. Nismo bili te sreće s novootkrivenom greškom jezgre Linuxa, nazvanom Prljavi fragkoji je također, čini se, otkriven uz pomoć umjetne inteligencije, no zakrpe su još uvijek u izradi.
Također: Linux dobiva sigurnosni poziv za buđenje – zašto je to bilo neizbježno i nisam zabrinut
Sigurnosni istraživač Hyunwoo Kim, koji je otkrio problem 7. svibnja, opisuje Dirty Frag kao proširenje iste klase bugova kao i prethodni visokoprofilni nedostaci Linux kernela, Dirty Pipe iz 2022 i Kopiranje nije uspjelo. Poput tih nedostataka, Dirty Frag iskorištava staze koda kernela koje zapisuju na memorijske stranice dostupne neprivilegiranom korisničkom prostoru, ali cilja na drugačiju strukturu: polje fragmenta mrežnih međuspremnika sk_buff.
Također: Immutable Linux pruža ozbiljnu sigurnost – evo vaših 5 najboljih opcija
Kim je rekao održavateljima Linux kernela o ranjivosti krajem travnja. Nažalost, koordinirani procesi otkrivanja i zakrpe brzo izašao iz tračnica. 7. svibnja, dok su distribucije još isporučivale popravke za povezanu grešku pri kopiranju, detaljne tehničke informacije Dirty Fraga i radni dokaz koncepta iskorištavanja za xfrm-ESP komponentu pojavio online nakon an prekid embarga nepovezana treća strana. Sad smo svi u nevolji.
Što je Dirty Frag?
Dirty Frag je lokalni lanac ranjivosti eskalacije privilegija koji iskorištava logičke greške u mrežnim i autentifikacijskim hrpama Linuxa kako bi oštetio podatke u predmemoriji stranice kernela, omogućujući neprivilegiranom računu da eskalira do roota.
Djeluje ciljajući na dva odvojena mrežna podsustava: Putanja IPsec Encapsulating Security Payload ili xfrm-ESPprati se kao CVE-2026-43284i RxRPC put provjere autentičnostiprati se kao CVE-2026-43500.
Ulančavanjem ovih nedostataka, napadači mogu modificirati ono što bi trebale biti samo za čitanje, sistemske datoteke s predmemorijom stranica u memoriji, a zatim pokrenuti njihovo pokretanje s povišenim privilegijama, bez dodirivanja vašeg datotečnog sustava.
Također: Ova kritična ranjivost Linuxa dovodi u opasnost milijune sustava – kako zaštititi svoj
Kad jednom uđe, Dirty Frag iskorištava “primitive pisanja u predmemoriju stranica” u brzim stazama jezgre koje se koriste za šifrirano umrežavanje i autentifikaciju udaljenog datotečnog sustava. Pažljivim odabirom cilja, napadač može prebrisati dijelove datoteka koje su navodno samo za čitanje u memoriji, kao što su izvršne ili konfiguracijske datoteke, a zatim izvršiti ili ponovno učitati izmijenjene datoteke kao root.
Odatle, nebo je granica, a napadači mogu činiti što god žele.
Dobre vijesti — da, ima ih — je da napadačima obično treba postojeće uporište, kao što je neprivilegirana ljuska putem SSH-a, web-ljuska ili kompromitirani spremnik, kako bi koristili Dirty Frag za eskalaciju.
S druge strane, jer temeljni bug je logička pogreška, a ne utrka osjetljiva na vrijemeeksploatacija je neobično pouzdana i ne izaziva paniku u kernelu kada zakaže. Drugim riječima, netko može napadati vaš Linux sustav iznova i iznova dok ne provali, a vi za to nikada nećete saznati.
Branitelji su se mučili da procijene izloženost
Napadačima nije trebalo dugo da to primjete. Javni eksploatacijski kod brzo se preslikao na sigurnosne blogove, GitHub repozitorije i forume za rasprave, ostavljajući branitelje da muče da procijene izloženost.
Također: Zabrinuti ste zbog povrede podataka na Canvasu diljem zemlje? Poduzmite ovih 6 koraka sada
Prema Microsoftov tim za obavještavanje o prijetnjamaDirty Frag je već viđen na djelu. Hakeri ga koriste za nadogradnju ograničenih uporišta na Linux sustavima na potpunu root kontrolu nad poslužiteljima, radnim opterećenjima u oblaku i spremnicima.
Dakle, tko je u opasnosti?
Žao mi je što moram reći da gotovo svi koriste bilo koju distribuciju Linuxa. Dirty Frag utječe na širok raspon Linux okruženja, od golih poslužitelja i poslovnih distribucija do hostova spremnika i instanci oblaka. To uključuje trenutna i ranija izdanja Ubuntua, Red Hat Enterprise Linuxa, CentOS Streama, AlmaLinuxa, Fedore i openSUSE Tumbleweeda, među ostalima.
Canonical, matična tvrtka Ubuntua, upozorava: “U implementacije spremnika koji mogu izvršavati proizvoljna radna opterećenja treće straneranjivost može dodatno olakšati scenarije bijega iz spremnika, uz lokalnu eskalaciju privilegija na hostu.” To je krajnja noćna mora računalstva izvornog u oblaku.
Srećom, “iskorištavanje dokaza koncepta još nije objavljeno za bijeg kontejnera.”
Do sada. Prema našim saznanjima. nadamo se.
Također: Najbolje VPN usluge: Stručno testirano i preporučeno
Dok su mnogi od vas slavili Majčin dan, zajednica Linux kernela provela je vikend rješavajući problem. CVE-2026-43284, komponenta xfrm-ESP, primila je uzvodni popravak u glavnoj jezgri 8. svibnja, manje od 24 sata nakon javnog objavljivanja, iako taj popravak sada treba prenijeti na mnoga podržana stabilna stabla.
Greška RxRPC, praćena kao CVE-2026-43500, ostaje u evaluaciji. Od pisanja ovog teksta nijedna uzvodna zakrpa nije dovršena. Prodavači Linuxa izdaju vlastita savjetovanja i ažuriranja dok integriraju promjene uzvodno.
Što biste trebali učiniti odmah
Distributeri Linuxa, pružatelji usluga oblaka i pružatelji usluga hostinga pozivaju korisnike da ažuriraju na najnovije pakete kernela čim postanu dostupni. Također pozivaju administratore da esp4, esp6 i rxrpc module stave na crnu listu kao zaustavljanje. Međutim, imajte na umu da ćete, ako to učinite, vjerojatno poremetiti IPsec VPN ili radna opterećenja temeljena na AFS-u. S druge strane, tako ćete biti sigurniji.
Također: Zašto Edge pohranjuje vaše lozinke u otvorenom tekstu, prema Microsoftu
Linux distribucije povezane s Debianom i Ubuntuom
Canonical predlaže sljedeće korake. Oni će raditi na Ubuntuu i povezanim distribucijama Linuxa, poput Minta.
Korak 1. Blokirajte module
- Blokirajte module stvaranjem datoteke /etc/modprobe.d/dirty-frag.conf:
- echo “instaliraj esp4 /bin/false” | sudo tee /etc/modprobe.d/dirty-frag.conf
- echo “instaliraj esp6 /bin/false” | sudo tee -a /etc/modprobe.d/dirty-frag.conf
- echo “instaliraj rxrpc /bin/false” | sudo tee -a /etc/modprobe.d/dirty-frag.conf
- Ponovno generirajte initramfs slike kako biste spriječili učitavanje modula tijekom ranog pokretanja:
- sudo update-initramfs -u -k sve
Korak 2. Istovar modula
- Učitajte module, u slučaju da su već učitani:
- sudo rmmod esp4 esp6 rxrpc 2>/dev/null
Korak 3. Potvrdite da moduli nisu učitani
- Provjerite jesu li moduli još učitani:
- grep -qE ‘^(esp4|esp6|rxrpc) ‘ /proc/modules && echo “Pogođeni moduli su učitani” || echo “Zahvaćeni moduli NISU učitani”
- Ako prethodna radnja pokazuje da moduli nisu učitani, daljnja radnja nije potrebna. Međutim, uklanjanje modula možda neće biti moguće ako ih aplikacije već koriste. U ovim će slučajevima ponovno pokretanje sustava nametnuti njihovo blokiranje, ali će utjecati na aplikacije:
- sudo ponovno pokretanje
- Nakon što ažuriranja kernela budu dostupna i instalirana, ublažavanje se može ukloniti:
- sudo rm /etc/modprobe.d/dirty-frag.conf
- sudo update-initramfs -u -k sve
Također: Najbolji mobilni antivirusni softver: Stručno testirano i recenzirano
Red Hat i povezane distribucije Linuxa
Red Hat predlaže da pokrenete:
- printf ‘instaliraj esp4 /bin/false\ninstaliraj esp6 /bin/false\ninstaliraj rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf rmmod esp4 esp6 rxrpc 2>/dev/null; pravi
Ovaj pristup, koji će zahtijevati onemogućavanje IPsec-a i programa temeljenih na AFS-u, također će raditi na CentOS-u, Rocky Linux-u, AlmaLinux-u i drugim distribucijama Linuxa koje se odnose na RHEL.
Također: Desetljećima koristim Windows, ali sam isprobao Linux da vidim je li sada doista ‘lak’ – i jedna me stvar iznenadila
SUSE Linux popravci
SUSE ima slično rješenje s istim upozorenjem o IPsec-u i AFS-u.
Stvoriti:
/etc/modprobe.d/10-copyfail2-fix.conf za ispravljanje pomoću sljedećih redaka:
- crna lista esp4
- crna lista esp6
- crna lista rxrpc
- instalirajte esp4 /bin/false
- instalirajte esp6 /bin/false
- instalirajte rxrpc /bin/false
Pojedinosti se razlikuju od distroa do distroa, ali privremeni popravak je uvijek isti: Koristite modprobe konfiguracijsku datoteku da onemogućite potencijalno pogođene programe dok zakrpe kernela ne budu dostupne i instalirane.
Kada to učinite, možete izbrisati hitne popravke i vratiti se uobičajenom poslu.
Također: Google se kladi u 32 milijarde dolara na cyber snage agenata AI dok utrka u sigurnosnom naoružanju eskalira
Sve dok potpuni popravci kernela ne budu široko raspoređeni i sustavi se ponovno ne pokrenu, trebali biste ublažiti svoj sustav što je prije moguće. Uostalom, ako imate samo jedan kompromitirani korisnički račun, napadač može koristiti Dirty Frag da preuzme potpunu kontrolu nad vašom infrastrukturom.
Sada, ako me ispričate, moram popraviti hrpu poslužitelja i radnih stanica.