Самый популярный Linux для бизнеса атакован через Twitter

Ошибка
в DHCP-клиенте Red Hat Enterprise Linux позволяет выполнять произвольные
команды на атакуемых машинах с правами «суперпользователя».

Эксплойтиз Twitter

Red Hat объявил о выявлениикритической уязвимости в DHCP-клиенте ОС Red Hat Enterprise Linux— одном из самых популярных вмире дистрибутивов Linux для корпоративных клиентов. Пробный эксплойт для бага уже существует и активнораспространяется через Twitter.

Уязвимость CVE-2018-1111 обнаружил эксперт Google ФеликсВильхельм (Felx Wilhelm). Баг, по его словам, допускает удаленную инъекцию низкоуровневыхкоманд в DHCP. Он присутствует в DHCP-клиентах и основного дистрибутива Red HatEnterprise Linux, и в его деривативах.

Уязвимость затрагивает более десятка версий Red Hat Enterprise Linux: AdvancedUpdate Support 6.4, Extended Update Support 7.3, Advanced Update Support 6.6, RedHat Enterprise Linux 6, Extended Update Support 6.7, Advanced Update Support7.2, Server TUS (v.6.6), Red Hat Enterprise Linux 7, Extended Update Support7.4, Virtualization 4 Management Agent for RHEL 7 Hosts, Advanced UpdateSupport 6.5, Linux Server TUS (v. 7.2).

linuks600.jpg

В корпоративных дистрибутивах Red Hat найдена опасная уязвимость

Затронуты также сервисы обновлений Red Hat дляSAP Solutions на архитектурах x86 и IBM Power.

Технические подробности

DHCP (Dynamic HostConfiguration Protocol, протокол динамической настройки узла) — это сетевойпротокол, позволяющий компьютерам автоматически получать IP-адрес и другиепараметры, необходимые для работы в сети TCP/IP, работающий по модели«клиент-сервер».

Для автоматическойнастройки компьютер-клиент обращается к серверу DHCP и получает от него нужныепараметры.

Согласно пояснениям RedHat, для эксплуатации уязвимости злоумышленники должны либо развернутьвредоносный DHCP-сервер, либо сфальсифицировать DHCP-запросы, находясь в той желокальной сети, что и потенциальные жертвы. Благодаря уязвимости злоумышленник получаетвозможность добиваться исполнения произвольных команд с правами«суперпользователя» (root) на тех системах, которые используют NetworkManager инастроены так, чтобы получать сетевые настройки через протокол DHCP.

Срочнопатчить!

«Наличиеработающего «пробного» эксплойта — это уже полдороги к появлению «настоящих»вредоносных программ, эксплуатирующих уязвимые места, — отмечает Михаил Зайцев, эксперт поинформационной безопасности компании SEC Consult Services. — Учитывая популярность RedHat Enterprise Linux и потенциальные масштабы ущерба в случае успешной атаки,системным администраторам стоит как можно оперативнее установить необходимыеобновления».