Išnaudojami šie trūkumai gali leisti užpuolikams gauti neteisėtą prieigą prie slaptos informacijos arba apskritai sukelti problemų.
Čia tinklaraštyje Man patinka dalintis daugybe naujienų apie klaidų atradimus ir aptiktus pažeidžiamumus linux skirtinguose posistemiuose, taip pat kai kuriose populiariose programose.
Kaip daugelis iš jūsų žinos pažeidžiamumo atskleidimo procesas linkęs pasiūlyti malonės laikotarpį kad kūrėjai turėtų laiko išspręsti minėtą klaidą ir paleisti korekcines versijas ar pataisas. Daugeliu atvejų prieš atskleidžiant pažeidžiamumą, klaidos yra ištaisomos, tačiau taip būna ne visada ir informacija bei parengti xplot'ai išleidžiami viešai.
Norint pasiekti šį tašką, yra tai Tai ne pirmas kartas, kai atskleidžiama, kad „xploit“ dėl pažeidžiamumo rezultatų su „paslėptu prizu“, nuo birželio vidurio buvo pranešta apie Linux branduolio modulio rkvdec pažeidžiamumą (nurodytas CVE-2023-35829).
Šiuo atveju PoC yra vilkas avies kailyje, slepiantis piktus ketinimus, prisidengęs nekenksminga mokymosi priemone. Jo paslėptos užpakalinės durys kelia slaptą ir nuolatinę grėsmę. Veikdama kaip atsisiuntimo programa, ji tyliai atsisiunčia ir vykdo „Linux bash“ scenarijų, o savo operacijas užmaskuoja kaip branduolio lygio procesą.
Jo atkaklumo metodika yra gana įžvalgi. Naudojamas kuriant vykdomuosius failus iš šaltinio failų, jis naudoja komandą make, kad sukurtų kworker failą ir prideda failo kelią į bashrc failą, leisdamas kenkėjiškajai programai nuolat veikti aukos sistemoje.
Aptiktas pažeidžiamumas leidžia pasiekti atminties sritį išleidus jį dėl lenktynių sąlygų vairuotojo atsisiuntime. Buvo manoma, kad problema apsiribojo atsisakymu teikti paslaugą, tačiau neseniai kai kuriose „Telegram“ ir „Twitter“ bendruomenėse pasirodė informacija, kad pažeidžiamumą gali panaudoti neprivilegijuotas vartotojas, kad įgytų pagrindines teises.
Norėdami tai parodyti, kaip įrodymas buvo išleisti du funkciniai xploits prototipai kuri buvo paskelbti Github ir vėliau pašalinti, nes ant jų buvo rastos užpakalinės durys.
Paskelbtų išnaudojimų analizė parodė, kad yra kenkėjiško kodo, kuris įdiegia kenkėjiškas programas „Linux“., nes jie nustato nuotolinio prisijungimo užpakalines duris ir siunčia kai kuriuos failus užpuolikams.
Piktybinis išnaudojimas tik apsimetė, kad turi root prieigą rodydami diagnostinius pranešimus apie atakos eigą, sukurdami atskirą vartotojo identifikatoriaus erdvę su savo šakniniu vartotoju ir paleisdami /bin/bash apvalkalą aplinkoje, izoliuotoje nuo pagrindinės, kuri sukūrė įspūdį, kad turite root prieigą paleidžiant tokias paslaugas kaip whoami.
Kenkėjiškas kodas jis buvo aktyvuotas iškviečiant vykdomąjį failą aclocal.m4 iš scenarijaus Makefile kompiliavimo scenarijus (tyrėjus, aptikusius kenkėjišką kodą, sunerimo tai, kad kompiliuojant išnaudojimą ELF formato vykdomasis failas vadinamas autoconf scenarijumi). Paleidus, vykdomasis failas sukuria sistemoje failą, kurį prideda prie "~/.bashrc", kad būtų galima automatiškai paleisti.
Taigi, procesas pervadinamas, o tai rodo, kad vartotojas to nepastebės procesų sąraše, atsižvelgiant į kworker procesų gausą Linux branduolyje.
Tada kworker procesas atsisiųstų bash scenarijų iš išorinio serverio ir paleistų jį sistemoje. Savo ruožtu atsisiųstas scenarijus prideda raktą, leidžiantį prisijungti prie įsibrovėlių per SSH, ir kuris taip pat išsaugo failą su vartotojo namų katalogo turiniu ir kai kuriais sistemos failais, tokiais kaip /etc/passwd, į saugojimo paslaugą transfer.sh, po kurio jis siunčiamas kaip nuoroda į išsaugotą failą į atakuojančią serverį.
Galiausiai verta paminėti, kad jei esate entuziastas, mėgstantis išbandyti atskleidžiamus xploitus ar pažeidžiamumus, imkitės atsargumo priemonių ir niekada nepakenks šiuos testus atlikti izoliuotoje aplinkoje (VM) arba kitoje antrinėje sistemoje/įrangoje, kuri yra tam skirta.
Kakleliai nori sužinoti daugiau apie tai, išsamią informaciją galite sužinoti šią nuorodą.