Здесь в блоге Мне нравится делиться новостями об обнаружении ошибок и обнаруженные уязвимости на linux в различных его подсистемах, а также в некоторых популярных приложениях.
Как многие из вас знают процесс раскрытия уязвимости, как правило, предлагает льготный период чтобы у разработчиков был период, чтобы решить указанную ошибку и выпустить исправительные версии или исправления. В большинстве случаев до раскрытия уязвимости ошибки исправляются, но это не всегда так, и информация, а также подготовленные xplots публикуются.
Дело в том, чтобы добраться до этой точки, что Это не первый случай, когда обнаруживается, что «эксплуатация» из-за уязвимости со «скрытым призом», поскольку в середине июня сообщалось об уязвимости (перечисленной под CVE-2023-35829) в модуле ядра Linux rkvdec.
В данном случае PoC — это волк в овечьей шкуре, скрывающий злой умысел под маской безобидного обучающего инструмента. Его скрытый бэкдор представляет скрытую и постоянную угрозу. Работая как загрузчик, он молча загружает и выполняет bash-скрипт Linux, маскируя свои операции под процесс уровня ядра.
Его методология настойчивости довольно проницательна. Используемый для создания исполняемых файлов из исходных файлов, он использует команду make для создания файла kworker и добавляет путь к файлу в файл bashrc, что позволяет вредоносному ПО непрерывно работать в системе жертвы.
Обнаруженная уязвимость приводит к доступу к области памяти после его выпуска из-за состояния гонки в загрузке драйвера. Предполагалось, что проблема ограничилась вызовом отказа в обслуживании, но недавно в некоторых сообществах Telegram и Twitter появилась информация о том, что уязвимость может быть использована для получения root-прав непривилегированным пользователем.
Чтобы продемонстрировать это, два функциональных прототипа эксплоитов были выпущены в качестве доказательства какие из них были размещены на Github, а затем удалены, т.к. на них были обнаружены бэкдоры.
Анализ опубликованных эксплойтов показал, что содержат вредоносный код, который устанавливает вредоносное ПО в Linux, так как они устанавливают бэкдор для удаленного входа в систему и отправляют злоумышленникам некоторые файлы.
Вредоносный эксплойт просто сделал вид, что получил root-доступ отображая диагностические сообщения о ходе атаки, создавая отдельное пространство идентификатора пользователя с собственным корневым пользователем и запуская оболочку /bin/bash в среде, изолированной от принципала, что создавало впечатление наличия root-доступа при запуске таких утилит, как whoami.
Вредоносный код активировался вызовом исполняемого файла aclocal.m4 из скрипта Скрипт компиляции Makefile (исследователей, обнаруживших вредоносный код, насторожил тот факт, что при компиляции эксплойта в качестве скрипта autoconf вызывается исполняемый файл в формате ELF). После запуска исполняемый файл создает в системе файл, который добавляется в «~/.bashrc» для автоматического запуска.
Таким образом, процесс переименован, что предполагает, что пользователь не заметит его в списке процессов в контексте обилия процессов kworker в ядре линукса.
Затем процесс kworker загрузит скрипт bash с внешнего сервера. и будет запускать его в системе. В свою очередь загруженный скрипт добавляет ключ для подключения к злоумышленникам по SSH, а также сохраняет файл с содержимым домашней директории пользователя и некоторыми системными файлами, такими как /etc/passwd, в хранилище сервиса transfer.sh, после чего отправляет в качестве ссылки на сохраненный файл на атакующий сервер.
Наконец, стоит упомянуть, что если вы энтузиаст, которому нравится тестировать раскрытые эксплойты или уязвимости, примите меры предосторожности, и никогда не помешает выполнять эти тесты в изолированной среде (ВМ) или на другой вторичной системе/оборудовании, специально предназначенной для этого.
Если вы интересно узнать о нем больше, вы можете проверить детали в по следующей ссылке.