一位研究人员称,具有代码执行能力的恶意行为者可能仅用10行Python就能获得Linux系统的root权限。
安全研究人员表示,一个新发现的漏洞可能影响自2017年以来发布的大多数开源主要Linux发行版。
Xint.io 和Theori代号为“Copy Fail”的漏洞引起了美国网络安全和基础设施局(CISA)的关注,他们于周六将其列入已知被利用漏洞(KEV)目录,并警告其对联邦企业构成“重大风险”。
Xint.io and Theori 漏洞研究团队表示:“一个无权限的本地用户可以在 Linux 系统上任何可读文件的页面缓存中写入四个受控字节,并用它获得 root权限。”
“十行蟒蛇”可能就足够了:研究员
该漏洞允许攻击者通过732字节的Python脚本在多种Linux系统中获得root权限,但需要在系统上事先执行代码才能升级权限。
研究员Miguel Angel Duran表示,访问任何受影响系统的根权限只需“10行Python”。
“这个Linux漏洞简直疯狂,”Duran说。
Linux因其安全性和高效性,被加密货币交易所、区块链节点和托管服务广泛使用,这意味着如果攻击者获得初步访问权限,这一漏洞可能对行业构成风险。
该漏洞最初于三月被报告
Xint Code 在周六的一篇 X 帖子中表示,这个漏洞“是 Linux 中一个极易被利用的逻辑漏洞,过去九年内所有主要发行版都可能遇到”。
“一个小型、可移植的 Python 脚本可以在所有平台上获得根源,”Xint Code 表示。
网络安全公司 Theori 首席执行官 Brian Pak 在周六的 X 帖子中表示,他于3月23日“私下”向 Linux 内核安全团队报告了该漏洞。
“我们与他们合作了补丁,补丁于4月1日上线。4月22日获指定CVE。我们于4月29日公开披露了完整的报告和信息来源,“Pak说。
Discovery 是在业界范围内“Project Glasswing”启动之后
缺陷的发现恰逢“玻璃翼计划”启动之际。这项被称为“全球最关键软件”的新计划汇聚了亚马逊网络服务、Anthropic、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、Microsoft、英伟达和帕洛阿尔托网络。
在4月初的发布公告中,Anthropic表示其Claude Mythos预览前沿模型显示,AI模型“已达到一个编码能力水平,能够超越除最熟练人类外的所有人,在发现和利用软件漏洞方面。”
“这对经济、公共安全和国家安全的影响可能非常严重。“玻璃翼计划”是一项紧急尝试,旨在将这些能力用于防御目的,“Anthropic说。
