これらの欠陥が悪用されると、攻撃者は機密情報に不正にアクセスしたり、一般的に問題を引き起こしたりする可能性があります
ここのブログで バグの発見に関するニュースをたくさん共有したいと思っています および検出された脆弱性 Linux上 さまざまなサブシステム内や、いくつかの人気のあるアプリケーション内でも同様です。
あなたの多くが知っているように 脆弱性を公開するプロセスには猶予期間が設けられる傾向があります そのため、開発者は上記のバグを解決し、修正バージョンまたはパッチをリリースできる期間が与えられます。 ほとんどの場合、脆弱性が公開される前にバグは修正されますが、常にそうとは限らず、情報と準備された xplot が公開されます。
ここに至るまでに重要なことは、 「エクスプロイト」が明らかになったのはこれが初めてではない。 脆弱性の結果から 「隠れた賞品」付きで、 2023 月中旬以来、Linux カーネル モジュール rkvdec に脆弱性 (CVE-35829-XNUMX にリストされている) が報告されました。
この場合、PoC は羊の皮をかぶった狼であり、無害な学習ツールを装って悪意を持っています。 その隠されたバックドアは、こっそりと持続的な脅威をもたらします。 ダウンローダーとして動作し、その操作をカーネル レベルのプロセスとして偽装しながら、Linux bash スクリプトをサイレントにダウンロードして実行します。
その永続化方法論は非常に巧妙です。 ソース ファイルから実行可能ファイルをビルドするために使用され、make コマンドを利用して kworker ファイルを作成し、そのファイル パスを bashrc ファイルに追加することで、マルウェアが被害者のシステム内で継続的に動作できるようにします。
検出された脆弱性によりメモリ領域にアクセスされる ドライバーのダウンロードで競合状態が発生したためにリリースした後。 この問題はサービス拒否呼び出しに限定されていると考えられていましたが、最近、Telegram や Twitter の一部のコミュニティで、この脆弱性を利用して特権のないユーザーが root 権限を取得できるという情報が現れました。
これを実証するために、 エクスプロイトの XNUMX つの機能プロトタイプが証拠として公開されました どれ Github に投稿され、後に削除されました、バックドアが見つかったためです。
公開されたエクスプロイトを分析したところ、 Linux にマルウェアをインストールする悪意のあるコードが含まれている、リモートログイン用のバックドアを設定し、いくつかのファイルを攻撃者に送信するためです。
悪意のあるエクスプロイト rootアクセス権を取得したふりをしただけ 攻撃の進行状況に関する診断メッセージを表示し、独自の root ユーザーで別個のユーザー識別子スペースを作成し、whoami などのユーティリティを実行するときに root アクセス権があるかのような印象を与えるプリンシパルから隔離された環境で /bin/bash シェルを実行することによって行われます。
悪質なコード スクリプトから実行可能ファイル aclocal.m4 を呼び出すことでアクティブ化されました。 Makefile コンパイル スクリプト (悪意のあるコードを発見した研究者は、エクスプロイトのコンパイル時に ELF 形式の実行可能ファイルが autoconf スクリプトとして呼び出されるという事実に警戒しました)。 起動後、実行可能ファイルはシステム上にファイルを作成し、自動起動のために「~/.bashrc」に追加します。
このように、 プロセスの名前が変更されているため、ユーザーは気付かないかもしれません Linux カーネル内の豊富な kworker プロセスのコンテキストにおけるプロセス リスト。
次に、kworker プロセスは外部サーバーから bash スクリプトをダウンロードします。 そしてそれをシステム上で実行します。 次に、ダウンロードされたスクリプトは、SSH 経由で侵入者に接続するためのキーを追加し、ユーザーのホーム ディレクトリの内容と /etc/passwd などの一部のシステム ファイルを含むファイルをストレージ サービス transfer.sh に保存します。その後、保存されたファイルへのリンクとして攻撃サーバーに送信されます。
最後に、公開されているエクスプロイトや脆弱性をテストすることに熱心な場合は、予防策を講じて、これらのテストを隔離された環境 (VM) またはこれに特化した別のセカンダリ システム/機器で実行しても問題はありません。
もしあなたが それについてもっと知りたい、 詳細はで確認できます 次のリンク。