Luka w jądrze Linuxa ujawniona po raz pierwszy w 2017 roku – znana jako błąd 'Copy Fail' – wciąż występuje na serwerach obsługujących wiele giełd kryptowalut i usług portfelowych, wywołując w tym tygodniu nowe alarmy w cyberbezpieczeństwie. Usterka, która umożliwia eskalację uprawnień poprzez wyścig w obsłudze pamięci kopiowania przy zapisie, może dać atakującemu pełną kontrolę nad docelowym urządzeniem, jeśli zostanie wykorzystana wraz z lokalnym wektorem dostępu. Mimo że błąd został załatany lata temu, badacze bezpieczeństwa ostrzegają, że niezliczone systemy produkcyjne pozostają niezałatane, narażając platformy aktywów cyfrowych na potencjalną kradzież lub naruszenie danych.
Usterka, która nie umiera
Oznaczony jako CVE-2017-1000112, błąd został odkryty przez badacza Google i szybko naprawiony w głównych dystrybucjach Linuxa. Jednak w praktyce łatkowanie jest niespójne. Wiele firm kryptowalutowych używa niestandardowych jąder lub polega na wersjach długoterminowego wsparcia, które nie zawsze otrzymują aktualizacje na czas. Podatność wykorzystuje zarządzanie pamięcią jądra, aby uciec z ograniczeń kontenerów lub eskalować z użytkownika o niskich uprawnieniach do roota. Dla giełdy kryptowalut oznacza to, że atakujący, który przejmie klucz API lub aplikację internetową, może następnie przejść na bazowy serwer i opróżnić gorące portfele lub manipulować logiką transakcji.
Dlaczego serwery kryptowalut są celem
Infrastruktura blockchain w dużym stopniu opiera się na Linuxie – to system operacyjny wybierany przez operatorów węzłów, pule wydobywcze i backendy giełd. Błąd 'Copy Fail' jest szczególnie niebezpieczny w środowiskach wielodostępnych, takich jak hostowane usługi portfelowe czy chmurowe platformy handlowe, gdzie jeden skompromitowany wirtualny serwer może przeniknąć do sąsiednich instancji. Badacze z kilku firm zajmujących się bezpieczeństwem zgłosili ten problem w prywatnych briefingach branżowych w tym roku, zauważając, że zauważalna liczba audytowanych konfiguracji kryptowalutowych wciąż używa jąder sprzed łatki z 2017 roku.
Co powinni zrobić operatorzy
Nie ma nowej poprawki – lekarstwo jest dostępne od lat. Problemem jest wdrożenie. Operatorzy giełd i portfeli są wzywani do natychmiastowego audytu swoich serwerów, sprawdzając wersje jądra względem bazy CVE. Wielu stwierdzi, że są bezpieczni; niektórzy odkryją, że uruchamiają bombę z opóźnionym zapłonem. Jądra długoterminowego wsparcia Linux Foundation zawierają łatkę, ale niestandardowe kompilacje lub starsze dystrybucje często jej nie mają. Red Hat, Debian i Ubuntu wszyscy backportowali poprawkę lata temu, ale tylko w przypadku, gdy system był aktualizowany od końca 2017 roku. Ręczne sprawdzenie za pomocą polecenia 'uname -r' i porównanie z dotkniętymi wersjami CVE jest zalecanym pierwszym krokiem.
Brak nowej podatności, to samo stare ryzyko
Historia 'Copy Fail' nie jest paniką związaną z luką dnia zerowego. To przypomnienie, że dług infrastrukturalny szybko narasta w kryptowalutach, gdzie szybkość wejścia na rynek często przeważa nad higieną bezpieczeństwa. Kilku audytorów bezpieczeństwa blockchain powiedziało prywatnie swoim klientom, że łatkowanie tego starego błędu jest ich głównym zaleceniem w tym kwartale. To, czy branża posłucha, będzie zależeć od tego, ile giełd potraktuje siedmioletni błąd jądra jako realne zagrożenie, a nie teoretyczne. Kolejny konkretny krok: spodziewajcie się więcej publicznych zawiadomień od zespołów bezpieczeństwa, które w nadchodzących tygodniach będą skanować systemy w poszukiwaniu niezałatanych instalacji.
