פגיעות בליבת לינוקס שנחשפה לראשונה ב-2017 – המכונה באג 'Copy Fail' – עדיין קיימת בשרתים המפעילים בורסות קריפטו רבות ושירותי ארנקים, ומעוררת אזעקות סייבר מחודשות השבוע. הפגם, המאפשר הרחבת הרשאות באמצעות תנאי מרוץ בטיפול בזיכרון בהעתקה בכתיבה, יכול להעניק לתוקף שליטה מלאה על מכונה ממוקדת אם מנוצל יחד עם וקטור גישה מקומית. למרות שהבאג תוקן לפני שנים, חוקרי אבטחה מזהירים כי אינספור מערכות ייצור נותרות ללא תיקון, מה שמותיר פלטפורמות נכסים דיגיטליים חשופות לגניבה פוטנציאלית או לפגיעה בנתונים.
הפגם שלא מת
הבאג, המתועד תחת CVE-2017-1000112, התגלה על ידי חוקר מגוגל ותוקן במהירות בהפצות לינוקס המרכזיות. אך בפועל, הטמעת התיקון לא הייתה עקבית. חברות קריפטו רבות מריצות קרנלים מותאמים אישית או מסתמכות על גרסאות תמיכה ארוכת טווח שאינן מקבלות תמיד עדכונים בזמן. הפגיעות מנצלת את ניהול הזיכרון של הקרנל כדי לחמוק ממגבלות קונטיינר או להסלים ממשתמש בעל הרשאות נמוכות למשתמש-על. עבור בורסת קריפטו, משמעות הדבר היא שתוקף שמצליח לפרוץ מפתח API או יישום אינטרנט יכול לעבור לשרת הבסיסי ולנקז ארנקים חמים או לשבש את לוגיקת המסחר.
מדוע שרתי קריפטו הם מטרה
תשתיות בלוקצ'יין נשענות בכבדות על לינוקס – זוהי מערכת ההפעלה המועדפת על מפעילי צמתים, מאגרי כרייה וצדדי השרתים של בורסות. באג 'Copy Fail' מסוכן במיוחד בסביבות מרובות דיירים, כמו שירותי ארנקים מתארחים או פלטפורמות מסחר מבוססות ענן, שבהן מכונה וירטואלית אחת שנפרצה עלולה לדלוף לשכנותיה. חוקרים במספר חברות אבטחה סימנו את הנושא בתדרוכים פרטיים לענף השנה, וציינו כי מספר ניכר של מערכות קריפטו שעברו ביקורת עדיין מריצות קרנלים שקדמו לתיקון של 2017.
מה על המפעילים לעשות
אין תיקון חדש – התרופה זמינה מזה שנים. הבעיה היא האימוץ. מפעילי בורסות וארנקים נקראים לבצע ביקורת מיידית על צי השרתים שלהם, לבדוק גרסאות קרנל מול מסד הנתונים של CVE. רבים יגלו שהם בסדר; חלק יגלו שהם מריצים פצצה מתקתקת. קרנלי התמיכה ארוכת הטווח של קרן לינוקס כוללים את התיקון, אך בניות מותאמות אישית או הפצות מדור קודם לעיתים קרובות מפספסות אותו. Red Hat, דביאן ואובונטו כולן ביצעו backport לתיקון לפני שנים, אך רק אם המערכת עודכנה מאז סוף 2017. בדיקה ידנית באמצעות הפקודה 'uname -r' והצלבה מול הגרסאות המושפעות של ה-CVE היא הצעד הראשון המומלץ.
אין פגיעות חדשה, אותו סיכון ישן
סיפור 'Copy Fail' אינו פאניקה של zero-day. זוהי תזכורת לכך שחוב תשתיתי מצטבר מהר בקריפטו, שבו מהירות ההגעה לשוק לעיתים גוברת על היגיינת אבטחה. מספר מבקרי אבטחת בלוקצ'יין אמרו ללקוחות באופן פרטי שתיקון הבאג הישן הזה הוא ההמלצה המובילה שלהם לרבעון זה. האם הענף יקשיב תלוי בכמה בורסות יתייחסו לבאג קרנל בן שבע שנים כאיום אמיתי ולא תיאורטי. הצעד הקונקרטי הבא: צפו להודעות ייעוץ ציבוריות נוספות מצוותי אבטחה ככל שיסרקו אחר מערכות לא מתוקנות בשבועות הקרובים.
