Linux零日漏洞給移動裝置帶來巨大威脅

大多數Linux廠商都會及時修複這項權限提升漏洞，但多年來仍有不少Linux裝置處于由此帶來的安全威脅之下。

這項存在于Linux核心當中的新型零日漏洞已經給Linux裝置的安全保護工作帶來嚴峻挑戰，特别是那些難于更新的裝置類型。管理者們目前可以利用各類标準更新工具為Linux桌上型電腦與伺服器安裝更新檔，但另外一些Linux裝置的運氣就沒那麼好了。

這項權限提升漏洞允許應用程式将核心作為一位本地使用者并擷取root通路權限，Perception Point公司聯合創始人兼CEO Yevgeny Pats指出，這項漏洞也正是由其發現。其存在于Linux核心3.8以及更高版本當中，影響到“數千萬”台32位與64位Linux PC及伺服器裝置。由于Android系統同樣使用該Linux核心，是以這項安全漏洞同樣會影響到運作有“巧克力棒”以及更高系統版本的Android裝置——這部分産品占目前全部Android使用者的66%左右。Linux還被廣泛應用于嵌入式系統以及物聯網裝置當中，這将進一步擴大此漏洞的影響範圍。

這項安全漏洞關系到核心驅動程式如何利用keyrings機制儲存核心中的安全資料、驗證以及加密資訊。每個程序都能夠為目前會話建立一個keyring并為其配置設定對應名稱。如果該程序當中已經包含一個會話keyring，那麼同一系統就會利用新的keyring對原有的進行替代。當某個程序試圖利用同樣的keyring替換會話中的現有keyring時，這項漏洞就會出現。具體來講，當攻擊者試圖通路keyring對象并将本地使用者權限提升為root級别時，該漏洞會造成使用後釋放問題。由于攻擊者已經完成了權限提升，是以其将有可能對目标裝置執行任意代碼。

這項存在于2012年之後新版本核心中的漏洞還可能允許攻擊者執行root級别操作，例如删除檔案、檢視隐私資訊并在目标系統之上安裝其它程式等等。不過要觸發該項漏洞(CVE 2016-0728)，攻擊者需要首先接觸到目标裝置，Pats指出。一般來說，惡意人士會通過誘導使用者點選釣魚連結以及下載下傳惡意軟體的方式實作與目标裝置的對接。

“盡管我們以及核心安全團隊都還沒有發現任何對此安全漏洞進行利用的實際安全，但我們仍然建議安全團隊對潛在受影響裝置進行檢查，并盡快推出修複更新檔，”Pats解釋稱。

核心開發團隊已經得到通知，而且預計相關更新檔将很快以更新方式推出。如果未能被包含在更新工具當中(目前紅帽與Ubuntu都已經釋出了自己的更新更新檔)，管理者應當盡快手動部署更新方案。然而，此次更新在具體實施上可能存在障礙，特别是考慮到管理者在面對容器偏重型環境時可能很難了解其中到底運作着哪些具體容器。

“由于無法檢視環境當中的具體運作對象，防禦工作将無法開展，”Black Duck軟體公司戰略副總裁Mike Pittenger表示。

盡管各類Linux發行版能夠通過各類常見更新管道對這一存在于Linux桌上型電腦與伺服器上的漏洞進行修複，但在移動裝置、嵌入式系統以及物聯網裝置層面，更新工作将變得非常複雜。這意味着方案供應商首先需要建構更新檔，而後指導使用者以其完全不熟悉的方式進行安裝。考慮到這一點，我們尚不清楚谷歌公司是否會在下個月釋出的Android更新當中包含這項核心修複條目。

“根據以往經驗，這意味着很多系統将在未來數年内始終面臨着這項已知安全漏洞帶來的嚴重威脅，”Pittenger指出。

Perception Point對該安全漏洞進行了概念驗證，其在GitHub上運作于配備有3.18核心版本的64位Linux系統之上。不過盡管概念驗證方案已經出爐，惡意人士仍然很難對其加以利用。Perception Point在其報告當中指出，新一代英特爾CPU中提供的管理模式通路預防與管理模式執行預防兩項功能使攻擊者很難利用這項安全漏洞。SELinux則為Android裝置帶來了另一重安全保障。

企業環境下的Linux絕不僅僅運作在伺服器以及Android裝置當中。管理者們應當檢查自己管理的容器，并了解其應用程式以及底層作業系統使用的是哪些Linux版本。總而言之，該漏洞很可能在意料之外的領域給我們造成困擾。

原文釋出時間為：2016-01-26

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。