Qualys обнаружила уязвимость в открытой операционной системе (ОС) Linux, которая существует с момента появления OC и может наделить правами администратора любого пользователя. Под угрозой оказались и российские операционные системы на базе Linux, которые установлены в банках, на промышленных объектах и в госсекторе. Разработчики отечественных ОС на Linux уже начали публиковать обновления, закрывающие пробел в безопасности. Но проблема может быть не единичной, поскольку комплексно исследованием исходного кода Linux мало кто занимался, считают эксперты.
Фото: Евгений Павленко, Коммерсантъ
Американский поставщик решений облачной кибербезопасности Qualys обнаружил уязвимость в Linux, которая получила название PwnKit, следует из отчета компании, опубликованного 25 января. Уязвимость позволяет любому пользователю получить полные привилегии администратора в системе — это настолько легко, что в Qualys называют ее «мечтой злоумышленника».
Исследователи утверждают, что уязвимость по умолчанию установлена на все дистрибутивы Linux и существует в компоненте pkexec (графический интерфейс) с самого его создания, то есть почти 13 лет.
Проблема присутствует в некоторых российских дистрибутивах Linux, подтвердил “Ъ” старший исследователь угроз кибербезопасности «Лаборатории Касперского» Борис Ларин.
Linux — свободно распространяемая для разработчиков ОС, которая легла в основу «семейства» Linux. Системы на Linux обычно распространяются бесплатно в виде различных дистрибутивов — заархивированных файлов, готовых для установки. Почти все российские операционные системы созданы на базе Linux, в их числе Alt Linux, Astra Linux, «Ред ОС», Rosa Linux. На ОС «семейства» Linux работают большинство крупных систем корпоративного уровня, а также госучреждения (см. “Ъ” от 11 февраля 2021 года). В частности, МВД в январе 2020 года закупило компьютеры на Astra Linux на 1,4 млрд руб.
Права администратора дают безграничные возможности злоумышленникам, и скорее всего, в течение года именно эта уязвимость станет основным инструментом атаки на устройства под управлением Linux, полагает глава центра мониторинга и реагирования на инциденты «Инфосистемы Джет» Алексей Мальнев: «Мишенью могут быть банки, промышленные предприятия и госсектор».
Через несколько часов после анонса проблемы в публичном поле появились прототипы эксплойтов (софта для использования описанной уязвимости), а дистрибутивы Linux начали выпускать обновления безопасности, рассказал ведущий специалист отдела исследований безопасности ОС Positive Technologies Александр Попов. В «Ред ОС» используется модуль, который потенциально относится к уязвимым, однако компания регулярно тестирует ОС, отметил заместитель гендиректора «Ред Софт» Рустам Рустамов: «Наши заказчики могут быть спокойны. Мы уже выпустили необходимое обновление безопасности».
Усилия разработчиков ОС по исследованию кода ядра Linux очень разрознены и не могут обеспечить гарантии отсутствия уязвимостей и ошибок в системе, признавал ранее заместитель гендиректора ГК Astra Linux Юрий Соснин. Сейчас в ГК Astra Linux сообщили “Ъ”, что завершают проверку по описанной уязвимости во всех релизах и для всех аппаратных платформ.
«По предварительным результатам испытаний для ОС Astra Linux Special Edition уязвимость неактуальна, если пользователи используют штатные средства защиты: повышения привилегий пользователя не происходит, так как срабатывают средства защиты замкнутой программной среды и другие собственные механизмы контроля целостности»,— пояснил Юрий Соснин.
Тем не менее, подтвердил он, факт недостатка в коде ядра и его «устранят в ближайших обновлениях».
Выявленная уязвимость демонстрирует один из важных недостатков систем с открытым исходным кодом, говорит руководитель отдела продвижения продуктов «Код безопасности» Павел Коростелев: «Кажется, что он доступен, и каждый может его проверить, но по факту мало кто этим занимается, поэтому уязвимость никто не замечал годами». Современные ОС — это миллионы строк кода, подчеркивает руководитель отдела разработки ИВК Дмитрий Державин: «Так получилось, что именно в этот кусочек никто до сих пор не заглядывал, и оправдания этой оплошности нет». Федеральная служба по техническому и экспортному контролю (ФСТЭК) для проверки безопасности ОС на базе ядра Linux еще год назад планировала создать специальный исследовательский центр, но судьба проекта неизвестна.