Hacker News Digest

Хакеры, по сообщению F5, украли исходный код и информацию о ранее неизвестных уязвимостях в BIG-IP. Компания выпустила экстренные патчи для устранения двух критических уязвимостей, которые были обнаружены в ходе расследования. Одна из них, CVE-2024-26026, позволяет удаленно выполнять код и имеет максимальный балл по шкале CVSS. Другая, CVE-2024-26067, связана с нарушением контроля доступа и также имеет высший приоритет по CVSS.

Хотя F5 не подтвердила напрямую, что исходный код был украден, она заявила, что злоумышленники могли получить его из-за недостаточной защиты репозитория. Компания подчеркивает, что не обнаружила свидетельств компрометации исходного кода BIG-IP в продакшн-среде, но рекомендует клиентам немедленно применить патчи.

Этот инцидент подчеркивает растущую тенденцию, когда хакеры нацеливаются на системы управления предприятиями и безопасности, чтобы украсть интеллектуальную собственность и найти уязвимости для последующей эксплуатации.

• F5 заявил, что угроза была «национальным государством», но нет доказательств, что это не просто удобное оправдание для отсутствия надлежащего контроля доступа.
• Компания, которая должна защищать другие, была скомпрометирована, и это подчеркивает, что даже вендоры не иммунны к угрозам, что может быть уязвимость в их собственных системах.
• Сообщество обеспокоено, что «национальное государство» используется как PR-ход, чтобы избежать ответственности за плохую безопасность.
• Некоторые комментаторы подчеркивают, что F5 не был уведомлен об уязвимости до тех пор, пока не начались атаки, что вызывает вопросы о том, как рано они знали о компрометации.
• Дискуссия также затрагивает вопрос о том, как компании, которые продают продукты безопасности, должны быть сами защищены от таких угроз.

CVE-2024-50264: кратко о сложнейшей гонке в AF_VSOCK
Уязвимость введена в 2016 г. (ядро 4.8); это race между connect() AF_VSOCK и POSIX-сигналом, приводящий к UAF 80-байтового объекта virtio_vsock_sock. Триггер доступен обычному пользователю без user-ns. Ограничения: объект быстро освобождается, UAF-запись делает kworker, система легко падает. За это баг получил Pwnie 2025 «Best Privilege Escalation».

Управление сигналом без самоубийства процесса
Вместо SIGKILL, который убивает эксплойт, используется «бессмертный» сигнал 33:

sev.sigev_signo = 33;
timer_create(CLOCK_MONOTONIC, &sev, &race_timer);
timer_settime(...);  // точный момент прерывания connect()

Сигнал 33 зарезервирован NPTL, процесс его не видит и не завершается.

kernel-hack-drill: тренажёр для ядерных атак
Проект https://github.com/a13xp0p0v/kernel-hack-drill автоматизирует:

• сборку нужных версий ядра Ubuntu 24.04 (6.11 OEM/HWE) с разными конфигурациями KASLR/KCFI/SLAB_QUARANTINE;
• запуск в KVM с заданным RAM/CPU и ssh-форвардингом;
• однокнопочный запуск PoC и сбор crash-дампов.

Инструмент позволил быстро перебирать стратегии перераспределения kmalloc-96, искать объекты-спрей, тестировать разные техники обхода защит и отлаживать эксплойт без ручной пересборки ядра.

Новый путь эксплуатации
Автор отказался от сложной цепочки @v4bel и @qwerty и применил упрощённую схему:

1. Спрей sendmsg()-controlled объектами размером 96 байт, чтобы перехватить освобождённый virtio_vsock_sock.
2. UAF-запись переписывает поле sk_prot, указывая на поддельную структуру proto в userspace-буфере.
3. При последующем вызове close() ядро переходит по контролируемому указателю и исполняет ROP-цепочку, поднимая shell до root.

kernel-hack-drill сократил время от идеи до рабочего PoC с недель до нескольких часов.

• Участники в восторге от глубокого и единоличного описания use-after-free, но признают, что текст местами труден для чтения из-за «роботизированной» подачи.
• Многие чувствуют себя «бесполезными» на таком низком уровне и восхищаются талантом исследователей уязвимостей.
• Поднимается вопрос о мотивации: исследователи редко чинят баги, потому что это требует других навыков и ломает их инсентивы.
• Обсуждается, поможет ли Rust в ядре Linux: write-after-free технически блокируется, но unsafe-области всё ещё оставляют риски.