The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Под видом эксплоита к уязвимости в rkvdec распространялся вредоносный код

14.07.2023 15:09

В середине июня в модуле ядра Linux rkvdec была выявлена уязвимость (CVE-2023-35829), приводящая к обращению к области памяти после её освобождения (use-after-free) из-за состояния гонки в процедуре выгрузки драйвера. Предполагалось, что проблема ограничивается вызовом отказа в обслуживании. Недавно в некоторых сообществах в Telegram и Twitter появилась информация, что уязвимость может быть использована для получения root-прав непривилегированным пользователем и в качестве доказательства на GitHub были опубликованы два рабочих прототипа эксплоитов apkc/CVE-2023-35829-poc и ChriSanders22/CVE-2023-35829-poc (уже удалены администрацией GitHub, копия).

Разбор опубликованных эксплоитов показал, что они содержат вредоносный код, устанавливающий в Linux-системы вредоносное ПО, настраивающее бэкдор для удалённого входа и отправляющее злоумышленникам некоторые файлы. Дополнительно был выявлен ещё один аналогичный вредоносный эксплоит (ChriSanders22/CVE-2023-20871-poc), прикрывающийся уязвимостью в VMware Fusion. Начинка вредоносных эксплоитов не имела отношения к уязвимостям в rkvdec и VMware Fusion, и базировалась на коде старого эксплоита, созданного для эксплуатации прошлогодней уязвимости в nftables (CVE-2022-34918).

Вредоносный эксплоит лишь симулировал получение root-доступа, выводя диагностические сообщения о ходе атаки, создавая отдельное пространство идентификаторов пользователей (user namespace) со своим пользователем root и запуская в изолированном от основной системы окружении оболочку /bin/bash, что создавало впечатление наличия root-доступа при запуске утилит, подобных whoami.

Активация вредоносного кода производилась через вызов исполняемого файла aclocal.m4 из сборочного сценария Makefile (исследователей, обнаруживших вредоносный код, насторожил тот факт, что при сборке эксплоита по видом autoconf-сценария вызывается исполняемый файл в формате ELF). После запуска aclocal.m4 создавал в системе файл "~/.local/kworker" и прописывал его в файле "~/.bashrc" для автоматического запуска.

После запуска имя процесса менялось на "[kworker/8:3]", предполагая, что пользователь не заметит его в списке процессов на фоне обилия kworker-процессов ядра Linux. Затем процесс kworker загружал с внешнего сервера bash-скрипт и запускал его в системе. В свою очередь загруженный скрипт добавлял в файл "~/.ssh/authorized_keys" ключ для подключения злоумышленников по SSH, сохранял в сервисе хранения transfer.sh архив с содержимым домашнего каталога пользователя и некоторыми системными файлами, такими как /etc/passwd, после чего отправлял на сервер атакующих ссылку на сохранённый архив.

  1. Главная ссылка к новости (https://www.uptycs.com/blog/ne...)
  2. OpenNews: Анализ наличия вредоносного кода в эксплоитах, опубликованных на GitHub
  3. OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
  4. OpenNews: На GitHub зафиксирована волна форков с вредоносными изменениями
  5. OpenNews: Выявлена подстановка вредоносной зависимости в ночные сборки PyTorch
  6. OpenNews: Эксплоит для проверки систем на root-уязвимость в Linux-ядре оказался трояном
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59440-exploit
Ключевые слова: exploit, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 16:05, 14/07/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +23 +/
     

     ....ответы скрыты (7)

  • 1.5, Quad Romb (ok), 16:54, 14/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Инструмент для так называемых "скриптодеток" вредил самим "скриптодеткам"?
    Чем-то напоминает высшую справедливость.
     
  • 1.6, 1 (??), 16:55, 14/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Всё сложно как-то...
    Всем же известно, что эксплойты запускаются как
    $ sudo bash < скачанный_эксплойт.sh

    Иначе работать не будет

     
     
  • 2.24, Sw00p aka Jerom (?), 08:32, 15/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не ты ли устанавливал ЗвеrCD на домашний комп?
     
  • 2.35, k (??), 02:09, 16/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого как раз-таки sudo не нужен :)
     
  • 2.40, Аноним (40), 07:07, 16/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так только для андройд
     

  • 1.8, Аноньимъ (ok), 17:44, 14/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    На дурака, ненужен нож. Ему с три короба навреш, и делай с ним что хош!
     
     
  • 2.14, Аноним (14), 18:57, 14/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вспоминается кракнутый шиндовый софт вместе с краком шинды.
     
     
  • 3.41, Zenitur (ok), 11:50, 16/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Крякер интернета
     
  • 2.17, Аноним (17), 19:47, 14/07/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    самокритично
     

  • 1.10, commiethebeastie (ok), 18:02, 14/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А смысл? Все эти хацкеры видят линукс исключительно только тогда, когда хотят всех похекать. Ну т.е. зараженным окажется перманентно выключенный кали.
     
     
  • 2.43, Аноним (43), 13:48, 17/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не наезжайте на кали, годная поделка : )
     

  • 1.11, YetAnotherOnanym (ok), 18:09, 14/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Хммм... Под видом эксплойта распространялся вредоносный код. Весьма неожиданно, надо признать.
     
  • 1.12, Аноним (12), 18:24, 14/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Долго вспоминал — крякер инета, вот!
     
     
  • 2.13, Аноним (14), 18:55, 14/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Был чел который хотел скачать весь интернет.
     
     
  • 3.16, Аноним (16), 19:38, 14/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С правильным архиватором, почему бы и нет? Там ещё что-то про гусей было.
     
     
  • 4.19, Аноним (12), 20:44, 14/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ога, MS Office, заархивированный в два мегабайта… эх, молодость, nnm.ru
     
  • 3.38, Аноним (37), 03:38, 16/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Был чел который хотел скачать весь интернет.

    И в конце концов - скачал. Так появился archive.org...

     

  • 1.15, anonbrain (?), 19:26, 14/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    передозировка базы
     
  • 1.18, Александр (??), 20:33, 14/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем? Не понятно. Мне кажется, в здравом уме человек не будет на рабочей тачке запускать какие-либо прототипы
     
     
  • 2.20, Quad Romb (ok), 20:51, 14/07/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Зачем? Не понятно. Мне кажется, в здравом уме человек не будет на
    > рабочей тачке запускать какие-либо прототипы

    Если бы люди, в основном, были бы в здравом уме - мир не был бы тем местом, которым он является сегодня.
    Так что расчёт вполне себе толковый.

     
  • 2.22, Oe (?), 05:13, 15/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Щас бы в здравом уме в 2023 поддерживать +100500 способов автозапуска и внедрения скриптов на все случаи жизни. Помню, из android выпилили 99% всего этого deprecated хлама, и запустить сторонний скрипт, и тем более прописать его в автозагрузку не так уж и просто. Зачем там вообще bash, если есть комбайн systemd?
     
     
  • 3.26, Aalexeey (?), 09:39, 15/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    SystemГ
     
  • 2.25, Sw00p aka Jerom (?), 08:35, 15/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Зачем?

    Ну тут два случая:

    1) мамкины хакиры хакают всея ынтернет

    2) пентестеры тестят системы на проникновение

     
  • 2.29, Аноним (29), 11:42, 15/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Зачем? Не понятно. Мне кажется, в здравом уме человек не будет на рабочей тачке
    >запускать какие-либо прототипы

    Во первых это локальная уязвимость. А во вторых не периоценивайте скрипт-киддисов. Они вполне могут купить хостинг и попытаться получить его root.

     

  • 1.27, Аноним (27), 09:49, 15/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ни один эксперт opennet'а не попался бы на эту удочку.
     
     
  • 2.28, User999 (?), 11:00, 15/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому то он запутался в "сетях" коментариев раньше
     
  • 2.34, Sw00p aka Jerom (?), 22:33, 15/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    потому-что не читают текст новости :))))))))))
     

  • 1.31, Аноним (31), 14:26, 15/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эксплойты пишут для демонстрации возможного использования уязвимости, и запускают их не "скрипт кидисы" или как вы там еще обзываетесь, а те кто разрабатывают ядро, чтобы изучать, как используется дыра, и думать как ее прикрыть.
     
     
  • 2.36, Quad Romb (ok), 03:25, 16/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Эксплойты пишут для демонстрации возможного использования уязвимости, и запускают их не
    > "скрипт кидисы" или как вы там еще обзываетесь, а те кто
    > разрабатывают ядро, чтобы изучать, как используется дыра, и думать как ее
    > прикрыть.

    Разработчик, если он думает своей головой и понимает потенциальную опасность таких штук, то выполняет - как минимум - три условия:
    а) старается брать такие "тестовые сценарии" из доверенного источника, а не из неизвестного репозитория
    б) внимательно читает CVE и сопряжённую с уязвимостью переписку, после чего читает сам сценарий
    в) применяет "тестовый сценарий" в изолированной (не обязательно виртуализированной) среде

    Но 99 и 9 в периоде процентов пользователей таких штук - именно что "скриптодетки"
    На них вся и надежда у тех, кто эту тему склеил.


     
  • 2.39, Аноним (37), 03:40, 16/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эксплойты пишут для демонстрации возможного использования уязвимости, и запускают их не
    > "скрипт кидисы" или как вы там еще обзываетесь, а те кто
    > разрабатывают ядро, чтобы изучать, как используется дыра

    Те кто разрабатывает ядро должны бы почитать что им впаривают - и осознать это. До того как запускать. Особенно на сиситемах подключенных к сети. Особенно если это что-то нужное.

    А в виртуалке без сети - ну, ок, даже если оно и погрызет ее немного - то чего? :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру