每年我们都会看到更多影响 Linux 的漏洞。许多消费者并不熟悉 Linux,尽管他们每天都在使用它而不自知——W3Techs 估计Linux 支持高达 90% 的互联网。鉴于这些数字,Linux 在服务器领域的流行程度,以及它支持的关键任务云应用程序的数量——它成为网络犯罪分子的目标也就不足为奇了。
简而言之,Linux 中的一个漏洞为攻击者提供了高价值的回报,这意味着他们可以用最少的努力最大化他们的回报,使用相同的漏洞来破坏多个组织的基础设施。在本文中,我们将研究一些最近的漏洞,以及如何使用 Linux 漏洞扫描程序保护您的内部系统。
最常见的 Linux 攻击类型
与所有平台一样,Linux 攻击各不相同,但勒索软件和加密劫持位居榜首。它们通常通过无文件恶意软件(使用合法程序感染系统或设备的软件)传播。它不依赖于文件且留下的足迹极少,因此难以通过防病毒等端点保护进行检测,因此预防胜于治疗。备受瞩目的无文件攻击包括民主党全国委员会的黑客攻击和 Equifax 漏洞。
前3个Linux漏洞
Linux 内核 CVE-2021-41073
作为 Linux 的主要组成部分,Linux 内核——计算机硬件与其进程之间的接口——是一个特别有吸引力的访问点。从本质上讲,代表了任何 Linux 发行版的“大脑”,这意味着它无处不在,任何漏洞都可能产生深远的影响。
此漏洞允许攻击者利用称为 io_uring 的内核接口中的弱点来实现本地特权执行 (LPE)。这意味着攻击者必须能够访问本地计算机才能利用此漏洞。有时,这是通过社会工程学来实现的,诱使用户自己运行一个小程序。为降低风险,请将 Linux 内核升级到 5.14.7 或更高版本。
Samedit Sudo CVE-2021-3156
Sudo 是一个几乎通用且功能强大的 Linux 实用程序,它允许用户使用另一个用户(主要是系统管理员)的安全权限来运行进程。它的创建是为了让用户不必以特权更高的用户身份登录即可执行需要比用户当前拥有的更高安全特权的命令。
这个漏洞的名字来源于海地伏都教的死灵“Baron Samedi”。由于 sudo 无处不在,几乎所有 Linux 系统都可能存在此漏洞。这是一种本地权限提升攻击,因此攻击者必须已经可以访问系统。
成功利用允许任何非特权用户在易受攻击的主机上获得 root 权限。这意味着它可以读取和写入系统上的任何文件、以任何用户身份执行操作、更改系统配置、安装和删除软件以及升级操作系统和/或固件。从本质上讲,它几乎可以在系统上做任何事情。
Dirty Pipe CVE-2022-0847
“Dirty Pipe”这个名称既是对 Dirty Cow(一种早期的高严重性且易于利用的 Linux 缺陷)的引用,也是关于新漏洞起源的线索。“Pipe”指的是管道,是一个OS进程向另一个进程发送数据的Linux机制。本质上,管道是两个或多个进程链接在一起,以便一个进程的输出文本 (stdout) 直接作为输入 (stdin) 传递到下一个进程。
Dirty Pipe 使不受信任的用户可以轻松执行可执行大量恶意操作的代码,包括安装后门、创建未经授权的用户帐户以及修改特权服务或应用程序使用的脚本或二进制文件。该漏洞最早出现在2020年8月发布的5.8内核版本中,直到2022年才被发现。随着5.16.11、5.15.25、5.10.102版本的发布修复了该漏洞。
Linux 漏洞扫描
对 Linux 的攻击呈上升趋势,并且变得越来越复杂和强大,黑客在创建恶意软件业务上花费的时间和金钱比以往任何时候都多。研究表明,新的 Linux 恶意软件威胁在 2022 年创下历史新高,增长 50% 至 190 万。
这是坏消息。好消息是仍然可以采取一些措施来确保安全。总之,这些是强大的漏洞和风险管理政策的核心:
原文始发于微信公众号(河南等级保护测评):Linux 漏洞扫描
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论