В Ubuntu 4 года имелась опасная незакрытая «дыра»

Софт Безопасность Стратегия безопасности
мобильная версия
, Текст: Роман Георгиев
Известный хакер Доннка О’Кэролл, также известный как Paladium, обнаружил в дистрибутиве Ubuntu опасную уязвимость, допускающую удалённый запуск произвольного кода в системе. Проблема кроется в программе Apport, которая обрабатывает сбои в системе. Разработчики Ubuntu уже выпустили все необходимые обновления.

«Дыра» в Ubuntu

В одном из самых популярных в мире Linux-дистрибутивов Ubuntu обнаружены критические уязвимости, которые позволяют удалённо запускать на компьютере под Ubuntu произвольный код. Брешь в безопасности выявлена в программе Apport. Для её эксплуатации понадобится создать файл, имитирующий стандартный отчёт о системной ошибке, содержащий код на языке Python. Apport прочитает и запустит этот код, не задавая вопросов. Разработчики Ubuntu уже выпустили необходимые обновления.

Команды Apport

Apport это системное приложение, автоматизирующее составление отчетов о сбоях в системе и различных приложениях, и позволяющее отправить готовые отчеты разработчикам. В случае «падения» какого-либо из процессов в Ubuntu Desktop, Apport автоматически генерирует файл с отчётом об ошибке. Если «рухнувший» процесс принадлежит активному в данный момент пользователю системы или относится к системным процессам, а актуальный пользователь обладает администраторскими привилегиями, Apport выводит на экран сообщение об ошибке с данными, считываемыми из последнего файла crash report.

Как утверждает обнаруживший уязвимость специалист по безопасности Доннка О'Кэролл (Donncha O'Cearbhaill), в файл с данными об ошибке можно внедрить произвольный код на языке Python, и Apport его послушно исполнит.

Обновления выпущены

О'Кэрролл опубликовал обширный материал с объяснением всех технических данных и демонстрацией эксплуатации уязвимости у себя в блоге, и разместил код эксплойта на GitHub. По словам исследователя, проблема присутствует во всех версиях Ubuntu Desktop, начиная с выпущенной в октябре 2012 г. версии 12.10 включительно.

Уязвимость обработчика системных сбоев присутствовала во всех версиях Ubuntu Desktop с конца 2012 года

Разработчики Ubuntu были уведомлены о наличии ошибки заранее, и все необходимые обновления уже опубликованы и доступны через средства обновления Ubuntu.

Лучше помогите деньгами

В своей публикации О'Кэрролл отметил, что свободное ПО остро нуждается в дополнительном аудите на предмет безопасности и призвал всех разработчиков заниматься этим при любом удобном случае.

Он также признал, что пока он готовил исследование Apport, некая «третья сторона» предложила ему продать его пробный эксплойт за $10 тыс. По словам О'Кэролла, исследователи информационной безопасности постоянно сталкиваются с дилеммой: сообщить о только что выявленной уязвимости разработчикам или продать информацию сторонним заинтересованным лицам.

«Чтобы повысить уровень безопасности для всех, необходимо найти долгосрочный способ мотивировать исследователей на поиск проблем, раскрытие информации о них и исправления багов. Мы не можем - и не должны - полагаться на энтузиастов, которые «дарят» коммерческим вендорам результаты своей работы. Таким образом безопасности не добиться».

Того же мнения придерживается генеральный директор компании «Монитор безопасности» Дмитрий Гвоздев: «Крупные вендоры коммерческого ПО, такие как Google, Microsoft, интернет-сервисы, например, Facebook, GitHub, Imgur, Instagram и PayPal, организовали свои программы Bug Bounty и предлагают иногда весьма щедрые вознаграждения за информацию о найденных багах. С другой стороны, очень хорошо платят и те, кто скупает информацию об уязвимостях нулевого дня и эксплойты к ним для последующей перепродажи или для проведения кибератак. Так что коммерческим разработчикам есть прямая выгода мотивировать сторонних исследователей финансово, не полагаясь на одну только добропорядочность».

«Лулзы» прошлого

Сам Доннка О'Кэрролл в прошлом получил известность как раскрытый член знаменитой "хактивистской" группировки LulzSec. В 2012 г. он был арестован полицией Ирландии по запросу ФБР. Выдавать в США его не стали, и в итоге он отделался штрафом за взлом сайта местной политической партии.

В США О'Кэрролл мог оказаться в тюрьме на долгие годы просто по факту причастности к деятельности LulzSec. В послужном списке этой группировки взломы и DDoS-атаки на сайты Fox News, Sony Pictures, Bethesda Game Studios, EVE Online, а также сайты ЦРУ и правительственных организаций Португалии.

Группировка самораспустилась в 2011 г., когда правоохранительные органы разных стран идентифицировали и арестовали большинство её основных участников.