Microsoft и Агентство кибербезопасности и безопасности инфраструктуры США (CISA) недавно выпустили предупреждение о новой уязвимости безопасности в ядре Linux, заявив, что проблема может затронуть большое количество основных дистрибутивов, включая Ubuntu, Red Hat, SUSE, Debian, Fedora, Arch Linux и Amazon (AWS) Linux, а количество задействованных устройств может исчисляться миллионами.

Уязвимость имеет номер CVE-2026-31431 и рейтинг CVSS 7,8. Он внесен в каталог «Известные эксплуатируемые уязвимости» CISA, который считает его распространенным вектором атаки для злоумышленников и представляет значительный риск для федеральных агентств и более широкой корпоративной среды.

картинка.png

В сообщении CISA указано, что это уязвимость, при которой «ядро Linux неправильно передает ресурсы между разными доменами безопасности». В случае использования это может привести к повышению локальных разрешений до корневого уровня. Этот тип локального повышения привилегий особенно опасен в сильно контейнеризированных и многотенантных средах рабочих нагрузок, основанных на этих дистрибутивах, поскольку как только злоумышленник получает первоначальный доступ к системе, у него появляется возможность дальнейшего нарушения изоляции и получения контроля над всем узлом.

В прошлом месяце Red Hat выпустила рекомендации по безопасности с более подробным техническим объяснением этой проблемы. Согласно сообщению, уязвимость появляется в интерфейсе алгоритма шифрования algif_aad в ядре Linux. Из-за введения неправильной реализации «операции на месте» сопоставление памяти исходных и целевых данных является несогласованным. В результате во время операции шифрования могут возникнуть непредвиденные проблемы с поведением или целостностью данных, что повлияет на надежность зашифрованной связи.

Исследователи безопасности Microsoft также проследили логическую ошибку в подсистеме шифрования ядра и указали, что проблема заключалась в оптимизации модуля algif_aad в рамках платформы AF_ALG, представленной в 2017 году. «Оптимизация на месте» в то время приводила к тому, что ядро ​​неправильно повторно использовало исходную память в качестве целевого буфера при выполнении определенных криптографических операций. Злоумышленник может использовать взаимодействие между интерфейсом сокета AF_ALG и системным вызовом splice() для достижения контролируемой 4-байтовой записи в страничный кэш ядра, тем самым точно подделывая важные структуры данных.

Исследователи заявили, что этот процесс атаки может быть реализован с помощью сценария Python и модифицирован для двоичных файлов с высоким уровнем привилегий, таких как /usr/bin/su, чтобы при выполнении он мог запускаться напрямую с правами root. В отличие от многих эксплойтов ядра, которые полагаются на условия гонки, эксплуатация этой уязвимости не основана на гонках по времени, но может стабильно воспроизводиться детерминированным образом с помощью небольшого сценария размером примерно 732 байта. Эта уязвимость считается «высоконадежным» средством повышения привилегий, поскольку ее можно успешно эксплуатировать в различных основных дистрибутивах с небольшими модификациями.

В среде облачных вычислений риски, связанные с этой функцией, еще больше увеличиваются. Многие контейнеры используют одно и то же ядро ​​хоста. Если эта уязвимость существует в базовой версии ядра, взлом одного контейнера может распространиться на весь узел и полностью захватить его. Microsoft предупреждает, что даже если злоумышленник изначально имеет только ограниченный доступ, например, входит в систему как пользователь с низкими привилегиями через SSH или получает возможности выполнения в конвейере CI/CD, этой уязвимости может быть достаточно для эскалации до root-привилегий, нарушения границ контейнера, включения горизонтального перемещения и заражения других рабочих нагрузок в многопользовательской среде.

В настоящее время публично наблюдаемая деятельность по использованию находится в основном на стадии проверки концепции (PoC) и не была превращена в оружие и не получила широкого распространения. Тем не менее, Microsoft выпустила сигнатуры обнаружения через Microsoft Defender XDR, чтобы помочь организациям всех типов выявлять потенциальные попытки эксплуатации и скомпрометированные системы. Microsoft также призывает команду безопасности как можно скорее завершить обновление ядра после того, как в каждом выпуске будут представлены соответствующие исправления для фундаментального устранения рисков.

Пока исправление не будет полностью установлено, Microsoft рекомендует принять ряд мер по смягчению последствий, включая временное отключение затронутых связанных криптографических функций или предотвращение создания сокетов AF_ALG, чтобы уменьшить уязвимость для атак. Кроме того, следует усилить политику контроля доступа, чтобы ограничить количество учетных записей, которые могут запускать произвольный код в системе, а также следует использовать сетевую изоляцию для уменьшения возможности горизонтального распространения во внутренней среде после единственной точки компрометации. Для узлов с подозрительными признаками быстрое восстановление и реконструкция в сочетании с аудитом журналов и обнаружением поведения также являются важными средствами снижения долгосрочных рисков.