Kodėl 2026-ieji išmokė mane kasdien skaityti saugumo naujienas.
Per paskutinius du mėnesius Linux branduolyje rasta penki veikiantys LPE eksploitai — LPE (local privilege escalation), lokalinis privilegijų padidinimas: bet kuris vartotojas turintis prieigą prie sistemos gauna root teises. Penki. Du mėnesiai. Copy Fail, DirtyCBC, Dirty Frag, Fragnesia, PinTheft — ir tai tik tie, kurie gavo vardus. Visus juos sieja vienas dalykas: viešas PoC (Proof of Concept — paruoštas veikiantis eksploito kodas) pasirodė anksčiau, nei pataisa pasiekė Ubuntu ar RHEL. Pažeidžiamumo langas — nuo kelių dienų iki dviejų savaičių. To pakanka.
KAS VYKSTA
Tai ne atsitiktinis šuolis. Tyrėjai rado aukso kasyklą — zerocopy ir io_uring posistemes Linux branduolyje. io_uring atsirado 2019 metais kaip didelio našumo asinchroninė įvesties/išvesties sąsaja. Kuriama greičiui, o ne saugumui. Tiesioginė prieiga prie branduolio atminties, sudėtingas būsenų modelis, netrivialūs kraštiniai atvejai — puiki aplinka double-free ir use-after-free klaidoms.
Vienas tyrėjas randa klaidą — kiti žiūri ta pačia kryptimi. Domino efektas paleistas. 2023 metais Google saugumo komanda pranešė: 60% jų bug bounty programos eksploitų 2022 metais buvo nukreipti prieš io_uring. Google išjungė io_uring Android, ChromeOS ir savo production serveriuose. Docker padarė tą patį. Tai nesibaigia — tai tęsiasi.
Pridėkite prie to sulaužytą disclosure procesą: 90 dienų standartas uždarymui prieš paskelbimą vis dažniau pažeidžiamas. Dirty Frag pateko į viešumą prieš distribucijoms spėjant išleisti pataisas — embargo pažeidė pašalinis asmuo. PinTheft: branduolio pataisa gegužės 5 d., PoC GitHub gegužės 21 d. Du mėnesiai. Dvi savaitės. Taip veikia realybė.
KODĖL TAI LIEČIA JŪSŲ SERVERĮ
Klasikinė 2026 metų atakos grandinė atrodo taip: pažeidžiamą WordPress plaginą → RCE (Remote Code Execution, nuotolinis kodo vykdymas) kaip www-data — vartotojas, kuriuo veikia web serveris → LPE eksploitas → root → žaidimas baigtas.
Pirmąją grandį — pažeidžiamą plaginą — blokuoja Cloudflare WAF, ModSecurity, Wordfence. Tai gerai sukonfigūruota perimetro apsauga. Tačiau jei užpuolikas praėjo pirmąją grandį — toliau tarp jo ir root stovi tik konkretaus eksploito sąlygos. PinTheft atveju tai įkeltas rds modulis ir įjungtas io_uring. Vienas parametras. Viena eilutė modprobe.d. Skirtumas tarp incidento ir katastrofos.
Problema ne ta, kad pažeidžiamybės egzistuoja — jos visada egzistavo. Problema ta, kad langas tarp PoC pasirodymo ir pataisos įdiegimo tapo kritiškai trumpas. Anksčiau administratorius turėjo laiko. Dabar — dienos, kartais valandos.
KAIP SEKTI NAUJIENAS
Tam nereikia valandos per dieną. Reikia sistemos.
Iš kur gauti informaciją:
oss-security — viešas el. pašto sąrašas, kuriame tyrėjai skelbia pažeidžiamybes dažnai dar prieš gaunant CVE identifikatorių. Čia pasirodo šviežiausia informacija. Norėdami užsiprenumeruoti, išsiųskite tuščią laišką adresu [email protected] — gausite patvirtinimą, spustelėkite nuorodą. Sąrašo archyvas prieinamas adresu openwall.com/lists/oss-security/
Kur ieškoti paskelbtų CVE:
— NVD (National Vulnerability Database): nvd.nist.gov — pilnas registras, CVSS įvertinimai, nuorodos į pataisas
— MITRE CVE: cve.mitre.org — pirminis identifikatorių registras
— Kernel CVE announcements: lore.kernel.org/linux-cve-announce/ — CVE tiesiogiai iš Linux branduolio komandos
Jūsų distribucijos saugumo pranešimai — pataisos čia pasirodo anksčiau nei naujienose:
— Ubuntu USN: ubuntu.com/security/notices
— Debian DSA: debian.org/security/
— RHEL/Fedora RHSA: access.redhat.com/security/security-updates/
Vienas naujienų šaltinis pagal pasirinkimą — BleepingComputer, The Hacker News arba SecurityLab.ru. Ne giliam nagrinėjimui, o tam kad nepraleistumėte garsaus pavadinimo.
Plius įrankiai, kurie dirba už jus:
debsecan (Debian Security Analyzer) — įrankis, kuris palygina visus jūsų sistemoje įdiegtus paketus su Debian pažeidžiamumų duomenų baze ir pateikia sąrašą to, ką reikia uždaryti. Veikia lokaliai, nereikia registracijos.
# Diegimas
sudo apt install debsecan
# Pažeidžiamumų ataskaita įdiegtiems paketams
debsecan --suite $(lsb_release -cs) --format report
# Galimų saugumo atnaujinimų patikrinimas
sudo apt update -qq && apt list --upgradable 2>/dev/null | grep -i security
# RHEL/Fedora — integruotas saugumo atnaujinimų patikrinimas
sudo dnf check-update --security
Ir systemd timer automatiniams savaitiniams patikrinimams — nes rankiniu būdu to nedaro niekas. Sukonfigūruoti galima per 10 minučių: sukurti unit failą su reikalinga komanda ir aktyvuoti per systemctl enable –now.
KĄ DARYTI RADUS NAUJIENĄ
Nepanikauti. Dirbti pagal schemą.
1 žingsnis. Patikrinti pažeidžiamumo reikalavimus. Ar reikia įkelto modulio? Ar reikia veikiančios tarnybos? Ar reikia lokalinės prieigos, ar tai nuotolinė ataka?
# Pavyzdys PinTheft — patikrinti ar rds įkeltas
lsmod | grep rds
# Patikrinti io_uring būseną
cat /proc/sys/kernel/io_uring_disabled
2 žingsnis. Taikyti laikiną priemonę jei pataisa dar neišleista. Modulio blacklist, tarnybos išjungimas, sysctl parametras — kas tinka.
3 žingsnis. Sekti savo distribucijos advisory puslapį. Kai tik pataisa pasirodė — atnaujinti nedelsiant.
# Atnaujinti branduolį — Debian/Ubuntu
sudo apt update && sudo apt upgrade linux-image-generic
# RHEL/Fedora
sudo dnf update kernel
4 žingsnis. Perkrauti. Be perkrovimo naujas branduolys neveikia.
PAGRINDINĖ IŠVADA
Perimetro apsauga — Cloudflare, fail2ban, nftables, ModSecurity — tai pirmoji linija. Ji gerai veikia prieš masines atakas ir botus. Tačiau ji neapsaugo nuo užpuoliko, kuris jau viduje.
Viduje apsaugo tik vienas dalykas: žinojimas kas vyksta branduolyje ir greita reakcija.
Copy Fail, DirtyCBC, Dirty Frag, Fragnesia, PinTheft — tai ne unikalūs įvykiai. Tai nauja norma. io_uring ir zerocopy duos daugiau pažeidžiamumų. Klausimas ne ar pasirodys kitas eksploitas. Klausimas ar sužinosite apie jį anksčiau nei užpuolikas.
Prenumeruokite oss-security šiandien. Tai užima dvi minutes.
