Linux-beheerders hebben er opnieuw een ernstige beveiligingsdreiging bij. Nauwelijks enkele dagen nadat de kwetsbaarheid ‘Copy Fail’ opdook, waarschuwen onderzoekers nu voor een nieuw lek in de Linux-kernel dat de naam ‘Dirty Frag’ kreeg. De bug maakt het mogelijk om met beperkte toegang volledige rootrechten te verkrijgen op een systeem, en voorlopig bestaat er nog geen volledige oplossing.
De kwetsbaarheid treft een brede waaier aan Linux-distributies, van Ubuntu en Fedora tot Red Hat Enterprise Linux en openSUSE. Vooral servers, cloudomgevingen en containers lopen risico. Volgens beveiligingsonderzoekers wordt het lek intussen al actief misbruikt. Security researcher V4bel legde het issue als eerste bloot.
Dirty Frag draait rond fouten in onderdelen van de Linux-kernel die netwerkverkeer en authenticatie verwerken. Een hacker die al beperkte toegang heeft tot een systeem (bijvoorbeeld via een gehackt account, een kwetsbare webserver of een gecompromitteerde container) kan de fout gebruiken om zichzelf rootrechten toe te kennen. Daarmee krijgt een aanvaller in de praktijk volledige controle over het systeem. Wat Dirty Frag extra gevaarlijk maakt, is dat het geen klassieke ‘race condition’-aanval is waarbij perfecte timing nodig is. De exploit werkt veel stabieler en laat bovendien nauwelijks sporen na wanneer een aanval mislukt.
Onderzoekers vergelijken Dirty Frag al met eerdere zware Linux-lekken zoals Dirty Pipe en Copy Fail. Ook hier draait alles rond het manipuleren van gegevens die normaal alleen-lezen zouden moeten zijn. In dit geval richten aanvallers zich op netwerkbuffers in het geheugen van de kernel om systeembestanden aan te passen zonder die effectief op de schijf te wijzigen. Dat maakt detectie bijzonder moeilijk. Een systeem kan gecompromitteerd worden terwijl logbestanden of beveiligingssoftware nauwelijks iets verdachts opmerken.
Linux-ontwikkelaars werken ondertussen volop aan patches, maar die zijn nog niet overal beschikbaar. Voor één van de betrokken onderdelen bestaat al een eerste fix in de hoofdversie van de Linux-kernel, maar andere delen van de kwetsbaarheid worden nog onderzocht. In afwachting raden Linux-distributeurs aan om bepaalde kernelmodules tijdelijk uit te schakelen. Het gaat onder meer om esp4, esp6 en rxrpc, onderdelen die gebruikt worden voor functies zoals IPsec-VPN’s en bepaalde netwerkdiensten.
Dat is echter geen ideale oplossing. Wie die modules uitschakelt, kan problemen krijgen met VPN-verbindingen, cloudtoepassingen of AFS-gebaseerde systemen. Vooral in bedrijfsomgevingen kan dat voor serieuze verstoringen zorgen. Canonical, het bedrijf achter Ubuntu, waarschuwt bovendien dat Dirty Frag potentieel ook gebruikt kan worden om uit containers te ontsnappen. Dat scenario geldt als een van de grootste nachtmerries binnen cloud- en serverbeveiliging, omdat één besmette container dan een volledig systeem in gevaar kan brengen.
Beheerders krijgen daarom het advies om systemen zo snel mogelijk bij te werken zodra beveiligingsupdates beschikbaar zijn. Tot die tijd blijft waakzaamheid cruciaal, zeker op servers waarop meerdere gebruikers of externe workloads actief zijn.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
