Самый популярный Linux для бизнеса атакован через Twitter

Софт Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев

Ошибка в DHCP-клиенте Red Hat Enterprise Linux позволяет выполнять произвольные команды на атакуемых машинах с правами «суперпользователя».


Эксплойт из Twitter

Red Hat объявил о выявлении критической уязвимости в DHCP-клиенте ОС Red Hat Enterprise Linux— одном из самых популярных в мире дистрибутивов Linux для корпоративных клиентов. Пробный эксплойт для бага уже существует и активно распространяется через Twitter.

Уязвимость CVE-2018-1111 обнаружил эксперт Google Феликс Вильхельм (Felx Wilhelm). Баг, по его словам, допускает удаленную инъекцию низкоуровневых команд в DHCP. Он присутствует в DHCP-клиентах и основного дистрибутива Red Hat Enterprise Linux, и в его деривативах.

Уязвимость затрагивает более десятка версий Red Hat Enterprise Linux: Advanced Update Support 6.4, Extended Update Support 7.3, Advanced Update Support 6.6, Red Hat Enterprise Linux 6, Extended Update Support 6.7, Advanced Update Support 7.2, Server TUS (v.6.6), Red Hat Enterprise Linux 7, Extended Update Support 7.4, Virtualization 4 Management Agent for RHEL 7 Hosts, Advanced Update Support 6.5, Linux Server TUS (v. 7.2).

В корпоративных дистрибутивах Red Hat найдена опасная уязвимость

Затронуты также сервисы обновлений Red Hat для SAP Solutions на архитектурах x86 и IBM Power.

Технические подробности

DHCP (Dynamic Host Configuration Protocol, протокол динамической настройки узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP, работающий по модели «клиент-сервер».

Для автоматической настройки компьютер-клиент обращается к серверу DHCP и получает от него нужные параметры.

Согласно пояснениям Red Hat, для эксплуатации уязвимости злоумышленники должны либо развернуть вредоносный DHCP-сервер, либо сфальсифицировать DHCP-запросы, находясь в той же локальной сети, что и потенциальные жертвы. Благодаря уязвимости злоумышленник получает возможность добиваться исполнения произвольных команд с правами «суперпользователя» (root) на тех системах, которые используют NetworkManager и настроены так, чтобы получать сетевые настройки через протокол DHCP.

Срочно патчить!

«Наличие работающего "пробного" эксплойта — это уже полдороги к появлению "настоящих" вредоносных программ, эксплуатирующих уязвимые места, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Учитывая популярность Red Hat Enterprise Linux и потенциальные масштабы ущерба в случае успешной атаки, системным администраторам стоит как можно оперативнее установить необходимые обновления».