Ένα λειτουργικό exploit, αρχικά γραμμένο σε Python (και αργότερα διαθέσιμο και σε άλλες γλώσσες προγραμματισμού), αποτελείται από περίπου δέκα γραμμές κώδικα και αξιοποιεί τυπικές κλήσεις συστήματος που δεν διαφέρουν από τη συνήθη δραστηριότητα ενός συστήματος.
Συγκεκριμένα η ευπάθεια CVE-2026-31431 του πυρήνα του Linux, επιτρέπει σε μη προνομιούχο τοπικό χρήστη να αποκτήσει δικαιώματα root μέσω τροποποίησης της page cache στη μνήμη.
Η ευπάθεια χαρακτηρίζεται ως κρίσιμη και βαθμολογείται με CVSS 7.8. Επηρεάζει τις περισσότερες μεγάλες διανομές Linux, συμπεριλαμβανομένων των Ubuntu, RHEL, Amazon Linux και SUSE, σε πυρήνες των τελευταίων ετών. Η εκμετάλλευση περιγράφεται ως πολύ εύκολη και ιδιαίτερα αξιόπιστη, με διαθέσιμη δημόσια proof-of-concept μικρού μεγέθους.
Το ίδιο script, τέσσερις διανομές, τέσσερα root shells — σε μία εκτέλεση. Το ίδιο exploit binary λειτουργεί χωρίς καμία τροποποίηση σε κάθε διανομή Linux.
Στην πράξη, ένας επιτιθέμενος μπορεί να στοχεύσει προνομιούχο πρόγραμμα, όπως ένα setuid εκτελέσιμο, και να εισάγει κακόβουλες εντολές στην εκδοχή του που βρίσκεται στη μνήμη. Όταν το πρόγραμμα εκτελεστεί, το σύστημα τρέχει τον κώδικα του επιτιθέμενου με δικαιώματα διαχειριστή. Η μεθοδολογία δεν βασίζεται σε χρονισμούς ή race conditions, γεγονός που αυξάνει τη σταθερότητα και την επιτυχία της επίθεσης.
Ξεκαθαρίζεται πάντως ότι η συγκεκριμένη ευπάθεια δεν μπορεί να αξιοποιηθεί εξ αποστάσεως, καθώς απαιτείται τοπική πρόσβαση στο σύστημα. Ωστόσο, μπορεί να ενταχθεί σε μια αλυσίδα επίθεσης μετά από απόκτηση απομακρυσμένης εκτέλεσης κώδικα (RCE) ή να αξιοποιηθεί από εσωτερικούς χρήστες με κακόβουλη πρόθεση.
Ιδιαίτερη ανησυχία προκαλεί το ότι η παρέμβαση γίνεται αποκλειστικά στη μνήμη και δεν αφήνει ίχνη στον δίσκο, κάτι που δυσκολεύει τον εντοπισμό με τυπικούς ελέγχους ακεραιότητας ή κλασικά εργαλεία ψηφιακής ανάλυσης. Η ίδια προσέγγιση λειτουργεί χωρίς τροποποιήσεις σε πολλαπλές διανομές, ενώ το απαιτούμενο exploit είναι μερικές εκατοντάδες bytes και αξιοποιεί τη γλώσσα Python, χωρίς να χρειάζεται ειδική προετοιμασία.
Πέρα από την τοπική κλιμάκωση προνομίων, το σφάλμα μπορεί να επιτρέψει και διαφυγή από containers, καθώς η page cache είναι κοινόχρηστη μεταξύ τους. Ως αποτέλεσμα, τυπικά μέτρα ασφαλείας ενδέχεται να αποτύχουν, ιδιαίτερα σε περιβάλλοντα με μη έμπιστους χρήστες ή φόρτους εργασίας, όπως κοινόχρηστα συστήματα και πλατφόρμες με containers.
Η διόρθωση έχει ήδη ενσωματωθεί στις σταθερές εκδόσεις του πυρήνα Linux, αντιμετωπίζοντας το ζήτημα ελέγχου των buffers. Σε περιπτώσεις όπου δεν είναι άμεσα εφικτή η αναβάθμιση, προτείνεται η απενεργοποίηση του module algif_aead ή η σχετική τροποποίηση των ρυθμίσεων εκκίνησης. Η εντολή που μπορεί να χρησιμοποιηθεί είναι: “echo ‘install algif_aead /bin/false’ > /etc/modprobe.d/disable-algif-aead.conf rmmod algif_aead 2>/dev/null”.
Παράλληλα, πολλές οργανώσεις προτρέπουν τους φορείς να ενισχύσουν τις δυνατότητες παρακολούθησης και ανίχνευσης, ώστε να εντοπίζεται έγκαιρα τυχόν ύποπτη δραστηριότητα και να υπάρχει άμεση απόκριση σε περιστατικά.
VIA: www.insomnia.gr
