10 мин

3

Хабр, привет!

На связи Александр Леонов, ведущий эксперт центра безопасности Positive Technologies (PT ESC) и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно смотрим на поток информации об уязвимостях из самых разных источников: бюллетени безопасности вендоров, соцсети, блоги, телеграм-каналы, репозитории кода, базы уязвимостей и эксплойтов. Из этого многообразия мы стараемся выделять самое важное – трендовые уязвимости, которые уже используются в реальных атаках или с высокой вероятностью будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили в общий список еще четыре трендовые уязвимости (с пятью идентификаторами):

• уязвимости, приводящие к локальному повышению привилегий, в подсистемах RxRPC и xfrm-ESP ядра Linux – PT-2026-38680, (CVE-2026-43284), PT-2026-38907 (CVE-2026-43500);

• уязвимость, приводящая к локальному повышению привилегий, в подсистеме XFRM ESP-in-TCP ядра Linux – PT-2026-40816 (CVE-2026-46300);

• уязвимость, приводящая к локальному повышению привилегий, в компоненте Microsoft Malware Protection Engine антивируса Microsoft Defender – PT-2026-42157 (CVE-2026-41091);

• уязвимость, приводящая к удаленному выполнению кода, в сервисе User-ID Authentication Portal операционной системы PAN-OS – PT-2026-37340 (CVE-2026-0300).

Не иссякает поток громких уязвимостей в Linux, позволяющих повысить привилегии в системе до root-а и получить полный контроль над хостом.

Уязвимости, приводящие к локальному повышению привилегий, в подсистемах RxRPC и xfrm-ESP ядра Linux

💥 PT-2026-38680 (CVE-2026-43284; оценка по CVSS – 7,8; высокий уровень опасности)
💥 PT-2026-38907 (CVE-2026-43500; оценка по CVSS – 7,8; высокий уровень опасности)

По информации исследователя Hyunwoo Kim (@v4bel), Dirty Frag – это уязвимость (класс уязвимостей), которая позволяет локальному непривилегированному злоумышленнику получить права root на большинстве Linux-дистрибутивов путем объединения уязвимости xfrm-ESP Page-Cache Write (CVE-2026-43284) и уязвимости RxRPC Page-Cache Write (CVE-2026-43500). Эксплуатация этой цепочки позволяет злоумышленнику полностью скомпрометировать систему: получить доступ к любым файлам, отключить защиту, закрепиться в системе и использовать хост для дальнейших атак.

Описание цепочки уязвимостей, технический write-up и эксплойт были опубликованы 7 мая. Эксплуатабельность была подтверждена на актуальных дистрибутивах Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10, Fedora 44. Срок присутствия этих уязвимостей в ядре составляет около 9 лет.

Информация об уязвимости и эксплойт были опубликованы до появления пакетов, устраняющих уязвимость в дистрибутивах. Как сообщает исследователь, 7 мая он отправил подробную информацию об уязвимости и эксплойте в список рассылки linux-distros. Эмбарго было установлено на 5 дней, с соглашением, что если третья сторона опубликует эксплойт в интернете в течение этого периода, он будет опубликован в открытом доступе. В тот же день так и произошло, информация утекла в паблик, эмбарго было нарушено. После чего уже сам исследователь сделал full disclosure.

Аналогичная громкая уязвимость из майского дайджеста Elevation of Privilege – Linux Kernel Copy Fail (CVE-2026-31431) послужила мотивацией для начала исследования Dirty Frag. Как сообщает исследователь, xfrm-ESP Page-Cache Write в Dirty Frag использует тот же sink, что и Copy Fail. Однако Dirty Frag срабатывает независимо от того, доступен ли модуль algif_aead. Иными словами, даже в системах, где применён workaround для Copy Fail (blacklist для algif_aead), Linux остаётся уязвимым для Dirty Frag.

Почему используется цепочка из двух уязвимостей? Как сообщает исследователь, xfrm-ESP Page-Cache Write предоставляет мощный примитив произвольной 4-байтной записи (STORE) (powerful arbitrary 4-byte STORE primitive), аналогичный Copy Fail, и присутствует в большинстве дистрибутивов, однако для его использования требуется привилегия на создание namespace. В Ubuntu создание непривилегированных user namespace иногда блокируется политикой AppArmor. В такой среде xfrm-ESP Page-Cache Write не может быть вызван (triggered). RxRPC Page-Cache Write не требует привилегии на создание namespace, однако сам модуль rxrpc.ko отсутствует в большинстве дистрибутивов. Тем не менее, в Ubuntu модуль rxrpc.ko загружается по умолчанию. Объединение двух вариантов в цепочку позволяет перекрыть слепые зоны друг друга, что даёт возможность получить root-привилегии на всех основных дистрибутивах.

Признаки эксплуатации: Microsoft предполагает, что Dirty Frag уже могла использоваться в реальных атаках.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: По данным платформы Couponsly.in, уязвимости, описанные ниже, потенциально могут затрагивать от 3 до 3,5 миллиардов пользователей, использующих разные дистрибутивы Linux.

Способы устранения и компенсирующие меры: необходимо незамедлительно установить обновления ядра Linux, выпущенные разработчиками дистрибутивов, с обязательной последующей перезагрузкой устройства. Для CVE-2026-43284 обновления ядра доступны с 5 мая (коммит f4c50a4034e6), для  CVE-2026-43500 - с 10 мая (коммит aa54b1d27fe0). Пока патчи находятся в процессе распространения, и установить обновления могут не все пользователи разных дистрибутивов Linux, исследователи рекомендуют:

1. Запретить загрузку модулей esp4, esp6 и rxrpc через модификацию файлов конфигурации в /etc/modprobe.d/. Важно учитывать, что блокировка модулей esp4 и esp6 может нарушить работу IPsec-туннелей, в том числе VPN-подключений на базе strongSwan, Libreswan, WireGuard и других решений, использующих IPsec ESP; а блокировка rxrpc – работу файловой системы AFS и других приложений, использующих подсистему RxRPC.

2. Установить временный запрет на загрузку любых новых модулей. Эта мера действует только до следующей перезагрузки системы и может нарушить работу оборудования, требующего автозагрузки дополнительных модулей (например, некоторых сетевых адаптеров или файловых систем). 

3. Запретить непривилегированным процессам создание пользовательских пространств имен. Эту меру стоит применять только после оценки потенциального воздействия на работоспособность системы, поскольку она может нарушить работу контейнеров (например, Podman или Docker), работающих без привилегий суперпользователя, а также механизмов изоляции (например, Snap или Flatpak) и браузерных песочниц.

Для систем, в которых отключение затронутых модулей невозможно, рекомендуется  настроить мониторинг аномальной активности. Кроме того, исследователи из компании Automox опубликовали в открытом доступе инструмент, который автоматизирует применение компенсирующих мер для обеих уязвимостей.

Важно отметить, что компенсирующая мера, применяемая для защиты от уязвимости Copy Fail (блокировка модуля algif_aead), не предотвращает эксплуатацию Dirty Frag.

Уязвимость, приводящая к локальному повышению привилегий, в подсистеме XFRM ESP-in-TCP ядра Linux

💥 PT-2026-40816 (CVE-2026-46300; оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость Fragnesia обнаружил исследователь William Bowling вместе с командой V12. Fragnesia относится к классу уязвимостей Dirty Frag. Это ошибка в подсистеме ESP/XFRM, отличная от Dirty Frag, для которой был выпущен собственный патч. Она позволяет добиться произвольной побайтовой записи в кэш страниц ядра (kernel page cache) для файлов, доступных только для чтения, без race condition.

Технические детали и код эксплоита были опубликованы 15 мая. Публичный эксплойт модифицирует содержимое /usr/bin/su в кэше страниц ядра, затем запускает /usr/bin/su, в результате чего пользователь получает root-овый shell. При этом бинарный файл на диске не изменяется. Перезагрузка или очистка кэша восстанавливает нормальное поведение системы.

Fragnesia затрагивает те же версии ядра, что и Dirty Frag. Любой дистрибутив, поставляющий ядро без патча от 13 мая, уязвим. Уязвимость была подтверждена на Ubuntu 6.8.0-111-generic (сборка от 11 апреля 2026 года). Отслеживайте появление обновлений пакетов ядра для ваших дистрибутивов Linux.

Для систем, где обновление ядра невозможно, эффективен тот же workaround, что и для Dirty Frag (занесение модулей в blacklist). Системы, в которых был применён workaround против Dirty Frag, уже защищены от Fragnesia. Системы, на которых были только установлены обновления против Dirty Frag без применения workaround-а, остаются уязвимыми и требуют установки новых обновлений против Fragnesia.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Количество потенциальных жертв: По данным платформы Couponsly.in, уязвимости, описанные ниже, потенциально могут затрагивать от 3 до 3,5 миллиардов пользователей, использующих разные дистрибутивы Linux.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Способы устранения и компенсирующие меры: для полного устранения уязвимости необходимо обновить ядро Linux до версии, содержащей патч, выпущенный 13 мая или позднее. Если немедленное обновление невозможно, в качестве временной меры рекомендуется отключить уязвимые модули ядра (esp4, esp6 и rxrpc) с помощью команды rmmod и запретить их последующую загрузку через создание конфигурационного файла в /etc/modprobe.d/. Перед применением компенсирующих мер важно оценить их влияние на работоспособность служб, использующих протокол IPSec или подсистему RxRPC.

От повышения привилегий в Linux перейдем к повышению привилегий в Windows.

Уязвимость, приводящая к локальному повышению привилегий, в компоненте Microsoft Malware Protection Engine антивируса Microsoft Defender

💥 PT-2026-42157 (CVE-2026-41091; оценка по CVSS – 7,8; высокий уровень опасности)

Microsoft Defender - это встроенное программное обеспечение от компании Microsoft, предназначенное для защиты операционной системы Windows и пользовательских данных от вирусов, вредоносных программ и других киберугроз в режиме реального времени. Неправильное разрешение ссылок перед доступом к файлу (link following, CWE-59) в Microsoft Defender (конкретно в компоненте Malware Protection Engine) позволяет авторизованному локальному злоумышленнику повысить привилегии до уровня SYSTEM. Это означает, что атакующий получает полный контроль над системой, включая доступ ко всем данным, возможность изменять настройки, устанавливать программное обеспечение, управлять учетными записями пользователей и отключать средства защиты.

Эксплойт RedSun для уязвимости был опубликован на GitHub исследователем Nightmare Eclipse 15 апреля вместе с эксплойтами для других уязвимостей компонентов Windows. Позже его аккаунт на GitHub был удалён администрацией, однако распространению эксплойтов это не помешало.

Особое внимание следует уделить серверным и десктопным Windows-хостам, где Microsoft Defender не отключён, но отсутствует доступ в Интернет для регулярного обновления.

Признаки эксплуатации: Microsoft предупредила, что уязвимость уже использовалась в реальных атаках. CVE-2026-41091 также была добавлена в каталог CISA KEV как активно эксплуатируемая.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: по данным The Verge, CVE-2026-41091 потенциально может затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей Windows (как домашних, так и серверных версий), на устройствах которых установлен компонент Microsoft Malware Protection Engine версии 1.1.26030.3008 и более ранних.

Способ устранения: Microsoft выпустила экстренные обновления безопасности для устранения CVE-2026-41091 (Malware Protection Engine версии 1.1.26040.8). По умолчанию Microsoft Defender автоматически обновляет компоненты системы безопасности Windows  и антивирусные базы, поэтому в большинстве случаев никаких дополнительных действий со стороны пользователя не требуется. Однако Microsoft рекомендует проверить, что автообновления для Microsoft Defender включены. Это можно сделать в приложении «Безопасность Windows», раздел «Защита от вирусов и угроз».

Завершим обзор критической уязвимостью в продуктах Palo Alto Networks – одного из ведущих вендоров NGFW и других сетевых решений.

Уязвимость, приводящая к удаленному выполнению кода, в сервисе User-ID Authentication Portal операционной системы PAN-OS

💥 PT-2026-37340 (CVE-2026-0300; оценка по CVSS – 9,8; критический уровень опасности)

PAN-OS – это операционная система для файрволов и платформ безопасности компании Palo Alto Networks. User-ID™ Authentication Portal (другое название Captive Portal) – это функция PAN-OS (не включенная по умолчанию), используемая для сопоставления IP-адресов с именами пользователей. Используя ошибку переполнения буфера (CWE-787), неаутентифицированный удаленный атакующий может отправить специально сформированные пакеты на устройство с включенным User-ID™ Authentication Portal, добиваясь выполнения произвольного кода с root-привилегиями на уязвимом устройстве. Аутентификация или взаимодействие с пользователем не требуются. При успешной эксплуатации уязвимости атакующий получает полный контроль над устройством: может перехватывать, изменять или блокировать сетевой трафик, получать доступ к конфиденциальным данным, обходить политики безопасности, скрывать следы компрометации, устанавливать бэкдоры и использовать устройство как точку входа для атак на внутреннюю инфраструктуру.

Бюллетень безопасности вендора был опубликован 6 мая. Уязвимы файрволы PA-Series и VM-Series. Решения Prisma Access, Cloud NGFW и Panorama не подвержены этой уязвимости. Обновления безопасности доступны с 13 мая. Вендор рекомендует ограничить доступ к User-ID™ Authentication Portal только доверенными внутренними зонами или полностью отключить его.

Признаки эксплуатации: согласно данным подразделения по киберразведке Unit 42 компании Palo Alto Networks, наблюдаемые случаи эксплуатации уязвимости связаны с группировкой CL-STA-1132.  После эксплуатации уязвимости атакующие создавали скрытые сетевые соединение через инструменты туннелирования EarthWorm и ReverseSocks5. Затем, используя учетные данные, полученные через межсетевой экран, проводили разведку Active Directory с целью дальнейшего перемещения и закрепления в инфраструктуре. Чтобы скрыть следы взлома, они удаляли системные журналы и другие артефакты компрометации. CISA также включило CVE-2026-0300 в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: согласно данным поисковой системы Shodan, по состоянию на 5 июня в интернете было доступно более 135 000 межсетевых экранов с операционной системой PAN-OS. Под угрозой находятся устройства, на которых User-ID Authentication Portal активен и доступен из внешней сети.

Способы устранения и компенсирующие меры: для устранения уязвимости необходимо обновить PAN-OS до одной из исправленных версий, которые начали публиковаться с 13 мая. До момента установки обновлений Palo Alto Networks рекомендует применить одну из компенсирующих мер:

• ограничить доступ к User-ID Authentication Portal доверенными внутренними зонами с помощью правил межсетевого экрана;

• полностью отключить этот компонент, если он не используется для аутентификации пользователей.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.

Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом всё. Увидимся в новом дайджесте трендовых уязвимостей через месяц.