Cảnh báo Bảo mật: Một khuyến cáo DFN-CERT nêu bật một số lỗ hổng trong nhân Linux có thể cho phép thực thi mã tùy ý và gây ra sự cố. Một số bản phát hành Red Hat đã có bản vá, nhưng nhiều bản phân phối vẫn dễ bị tấn công cho đến khi các bản cập nhật được áp dụng. Văn bản này mô tả tác động, các hướng khai thác và các hành động cần thực hiện ngay lập tức. DFN-CERT-2025-2711: Tóm tắt Rủi ro và Trạng thái Bản vá Khuyến cáo DFN-CERT-2025-2711 liệt kê một số lỗ hổng trong nhân Linux. Một số cho phép thực thi mã tùy ý. Một số khác gây ra tấn công từ chối dịch vụ hoặc leo thang đặc quyền. Các cuộc tấn công thường yêu cầu đặc quyền cục bộ, nhưng tác động vẫn rất nghiêm trọng trên các máy chủ dùng chung và máy trạm nhạy cảm.
Các nhà cung cấp đã phát hành bản vá cho một số phiên bản. Cụ thể, các bản cập nhật đã được đưa lên
Red Hat Enterprise Linux 8.8 trong nhánh Hỗ trợ Cập nhật Mở rộng của họ. Tuy nhiên, Debian ,Ubuntu , SUSE
, Fedora , Arch Linux, CentOSvà Oracle Linuxvẫn có nguy cơ bị tấn công cho đến khi các gói được các nhà bảo trì quảng bá. Bản khuyến cáo chính thức có sẵn trong kho lưu trữ DFN-CERT. XemBản khuyến cáo DFN-CERT 2025-2711 để biết chi tiết kỹ thuật và tài liệu tham khảo. Thông tin quan trọng: Việc áp dụng các bản vá nhanh chóng sẽ làm giảm đáng kể thời gian tấn công.Phân phối và phạm vi: Hệ điều hành Linux và Android nào bị ảnh hưởng? Các lỗ hổng ảnh hưởng đến mã hạt nhân lõi. Chúng không loại trừ các biến thể hoặc nền tảng nhúng. Điều này áp dụng cho các bản phân phối máy chủ và máy tính để bàn: Ubuntu , Debian
, Fedora ,
SUSE
, Arch Linux, CentOS, Oracle Linuxvà, tất nhiên, các phiên bản phái sinh. Các thiết bị di động dựa trênAndroid thường chia sẻ các phần của cùng một nhân. Tùy thuộc vào cấu hình và các lớp được nhà sản xuất sửa đổi, một số điện thoại hoặc hộp mạng có thể dễ bị tấn công. Trên các máy đặt chung hoặc máy ảo dùng chung, lỗ hổng nhân cho phép kẻ tấn công cục bộ ảnh hưởng đến máy chủ hoặc các đối tượng thuê khác.Trường hợp thực tế: Một doanh nghiệp vừa và nhỏ (SME) lưu trữ container trên máy chủ dùng chung đã phát hiện ra một nỗ lực leo thang thông qua một mô-đun độc hại. Lỗ hổng bị khai thác yêu cầu đặc quyền của người dùng, nhưng quyền truy cập ban đầu đến từ một ứng dụng web bị xâm phạm. Thông tin chi tiết quan trọng: Môi trường đa đối tượng thuê làm tăng tác động của lỗ hổng nhân lên gấp bội. Kỹ thuật khai thác và ví dụ cụ thểCác lỗ hổng được liệt kê có thể bị khai thác thông qua các giao diện khác nhau: lệnh gọi hệ thống, trình điều khiển được viết kém hoặc tương tác với các mô-đun của bên thứ ba. Khai thác điển hình theo hướng sau: truy cập của người dùng -> tương tác với giao diện dễ bị tấn công -> leo thang đặc quyền hoặc mất ổn định nhân. Ví dụ kỹ thuật: Trình điều khiển mạng kiểm tra kích thước bộ đệm không đúng cách. Một gói tin được tạo đặc biệt gây ra tràn bộ nhớ và cho phép chèn lệnh vào bộ nhớ. Trên các máy không có biện pháp bảo vệ mạnh (ASLR một phần, SMEP/SMAP bị vô hiệu hóa), cuộc tấn công trở nên khả thi và sẽ dẫn đến việc thực thi mã. Một hướng khác: các mô-đun hạt nhân chưa được ký số được tải động bởi các dịch vụ được cấu hình sai. Chúng mở một cổng trực tiếp đến hạt nhân. Việc giảm số lượng mô-đun được tải và kiểm tra tính toàn vẹn sẽ giảm thiểu rủi ro này. Thông tin chi tiết quan trọng: Bảo mật giao diện và tăng cường bảo mật phần cứng sẽ làm giảm khả năng khai thác thực tế.
Các biện pháp tức thời và kế hoạch khắc phục cho doanh nghiệp
Ưu tiên: Xác định các máy bị ảnh hưởng và áp dụng các bản vá do nhà cung cấp chính thức cung cấp. Đối với
Red Hat 8.8 EUS
Đã có bản cập nhật kernel. Đối với các bản phân phối khác, hãy theo dõi thông báo của nhà bảo trì và lên kế hoạch triển khai nhanh chóng.
Nếu không thể cập nhật ngay lập tức, hãy cô lập các máy chủ dễ bị tấn công. Dừng các dịch vụ không cần thiết, hạn chế truy cập SSH và kích hoạt các quy tắc tường lửa nghiêm ngặt. Đối với môi trường container, hãy di chuyển các khối lượng công việc quan trọng sang các nút đã vá hoặc sang các ảnh bất biến đã chuẩn bị.
Mẹo vận hành: kiểm tra các bản vá trong giai đoạn tiền sản xuất, sử dụng ảnh chụp nhanh và lên kế hoạch khôi phục. Đối với thiết bị Android doanh nghiệp, hãy yêu cầu OEM cung cấp ngày vá hoặc áp dụng các giải pháp MDM để chặn việc thực thi các ứng dụng chưa được ký. Thông tin chi tiết chính: Phản hồi nhanh chóng và phối hợp giữa các nhóm hệ thống và bảo mật sẽ ngăn chặn sự leo thang.
Giám sát dài hạn và bài học kinh nghiệm cho năm 2025
Sau khủng hoảng, cần phải rút ra bài học. Triển khai giám sát chủ động các khuyến cáo (DFN-CERT, các trang bảo mật của nhà cung cấp). Tự động hóa quét phiên bản kernel và kích hoạt cảnh báo khi xảy ra sự khác biệt. Tích hợp kiểm tra thâm nhập nhắm mục tiêu vào giao diện kernel vào chu trình CI/CD. Phân đoạn mạng và nguyên tắc đặc quyền tối thiểu vẫn rất quan trọng. Đối với các công ty đang di chuyển lên đám mây, hãy kiểm tra phiên bản kernel được sử dụng bởi cơ sở hạ tầng được cung cấp. Container không thay thế nhu cầu về kernel an toàn trên máy chủ.Điểm chung: Một công ty khởi nghiệp hư cấu tập trung vào IoT đã giảm thời gian phản hồi từ vài ngày xuống còn vài giờ bằng cách sử dụng sổ tay hướng dẫn và các bản cập nhật tự động. Kết quả: không có máy tính nào bị xâm nhập mặc dù các lần quét có mục tiêu cho thấy các nỗ lực khai thác. Thông tin chi tiết chính: Đầu tư vào phòng ngừa và tự động hóa luôn mang lại lợi ích.
Comments
Leave a comment