Уязвимость ядра Linux, впервые раскрытая в 2017 году и известная как ошибка «Copy Fail», до сих пор присутствует на серверах, обслуживающих многие криптовалютные биржи и кошельки, что вызвало новую волну беспокойства по поводу кибербезопасности на этой неделе. Недостаток, позволяющий повышать привилегии через состояние гонки в механизме копирования при записи (copy-on-write), может дать злоумышленнику полный контроль над целевой машиной при эксплуатации вместе с вектором локального доступа. Хотя ошибка была исправлена много лет назад, исследователи безопасности предупреждают, что бесчисленные производственные системы остаются незапатченными, оставляя платформы с цифровыми активами уязвимыми для кражи или компрометации данных.
Неустранимая ошибка
Отслеживаемая как CVE-2017-1000112, ошибка была обнаружена исследователем Google и быстро исправлена в основных дистрибутивах Linux. Но на практике установка патчей была непоследовательной. Многие криптофирмы используют собственные ядра или полагаются на версии с долгосрочной поддержкой, которые не всегда своевременно получают обновления. Уязвимость использует управление памятью ядра для обхода ограничений контейнеров или повышения привилегий от низкоуровневого пользователя до root. Для криптовалютной биржи это означает, что злоумышленник, скомпрометировавший API-ключ или веб-приложение, может затем переключиться на базовый сервер и опустошить горячие кошельки или манипулировать торговой логикой.
Почему криптосерверы являются мишенью
Инфраструктура блокчейна сильно опирается на Linux — это операционная система, предпочитаемая операторами узлов, майнинговыми пулами и бэкендами бирж. Ошибка «Copy Fail» особенно опасна в средах с несколькими арендаторами, таких как хостинг-сервисы кошельков или облачные торговые платформы, где одна скомпрометированная виртуальная машина может повлиять на соседние экземпляры. Исследователи из нескольких фирм по безопасности отметили эту проблему в частных отраслевых брифингах в этом году, указав, что заметное количество проверенных криптоустановок все еще работает на ядрах, предшествующих патчу 2017 года.
Что следует сделать операторам
Нового исправления нет — лекарство было доступно годами. Проблема в принятии. Операторам бирж и кошельков настоятельно рекомендуется немедленно провести аудит своего парка серверов, проверяя версии ядер по базе данных CVE. Многие обнаружат, что у них все в порядке; некоторые узнают, что работают на бомбе замедленного действия. Ядра с долгосрочной поддержкой от Linux Foundation содержат патч, но собственные сборки или устаревшие дистрибутивы часто его пропускают. Red Hat, Debian и Ubuntu давно включили исправление, но только если система обновлялась начиная с конца 2017 года. Рекомендуется вручную проверить с помощью команды «uname -r» и сверить с затронутыми версиями CVE в качестве первого шага.
Нет новой уязвимости, но риск тот же
История с «Copy Fail» — это не паника из-за zero-day. Это напоминание о том, что инфраструктурный долг в криптовалютах накапливается быстро, где скорость выхода на рынок часто перевешивает гигиену безопасности. Несколько аудиторов по безопасности блокчейна частным образом сообщили клиентам, что исправление этой старой ошибки является их главной рекомендацией в этом квартале. Будет ли индустрия прислушиваться, зависит от того, сколько бирж будут рассматривать семилетнюю ошибку ядра как реальную угрозу, а не как теоретическую. Следующий конкретный шаг: ожидайте больше публичных уведомлений от команд безопасности, поскольку они будут сканировать системы на предмет незапатченных систем в ближайшие недели.
