Πώς μια ελλιπής προστασία copy-on-write κατέρριψε το μοντέλο ασφαλείας του πυρήνα Linux

Μια αμυντική στρατηγική πολλών εκατομμυρίων δολαρίων συνήθως βασίζεται στην υπόθεση ότι ο βασικός πυρήνας του λειτουργικού συστήματος είναι ένα στατικό, απόρθητο θησαυροφυλάκιο. Ξοδεύουμε χρόνια βελτιώνοντας κανόνες τείχους προστασίας, παρόχους ταυτότητας και σενάρια ανίχνευσης τελικών σημείων, ωστόσο το αρχιτεκτονικό θεμέλιο παραμένει συχνά το πιο εύθραυστο στοιχείο. Το Linux χρησιμοποιεί μια βελτιστοποίηση που ονομάζεται copy-on-write (COW) για τη διαχείριση της αποδοτικότητας της μνήμης. Αυτό το σύστημα διασφαλίζει ότι πολλαπλές διεργασίες μοιράζονται την ίδια φυσική μνήμη μέχρι κάποια να χρειαστεί να την τροποποιήσει. Σε εκείνο το σημείο, ο πυρήνας υποτίθεται ότι δημιουργεί ένα ιδιωτικό αντίγραφο για να αποτρέψει την αλλαγή από το να επηρεάσει άλλους χρήστες. Στην περίπτωση του CVE-2026-31635, αυτή η βασική υπόσχεση απέτυχε.

Πέρασα τις τελευταίες 48 ώρες εξετάζοντας τον κώδικα proof-of-concept που κυκλοφόρησε για το DirtyDecrypt, γνωστό και ως DirtyCBC. Η ευπάθεια είναι ένα κλασικό παράδειγμα αρχιτεκτονικού παραδόξου. Ο ίδιος ο μηχανισμός που σχεδιάστηκε για να κάνει τον πυρήνα του Linux γρήγορο και αποδοτικό στη μνήμη είναι ο μηχανισμός που επέτρεψε σε έναν απλό χρήστη χωρίς προνόμια να αντικαταστήσει αρχεία που ανήκουν στον root. Αυτή είναι η τρίτη σημαντική παραλλαγή αυτής της συγκεκριμένης λογικής διαφθοράς μνήμης που βλέπουμε μέσα σε ισάριθμους μήνες. Μου θυμίζει ένα πλοίο κατασκευασμένο με κύτος που είναι απόρθητο από έξω, αλλά διαλύεται όταν έρχεται σε επαφή με το δικό του εσωτερικό καύσιμο.

Η μηχανική της ευπάθειας rxgk pagecache

Το ελάττωμα υπάρχει μέσα στη συνάρτηση rxgk_decrypt_skb. Αυτός ο κώδικας χειρίζεται την αποκρυπτογράφηση των εισερχόμενων buffer υποδοχής (socket buffers) στην πλευρά λήψης της στοίβας δικτύου. Όταν ο πυρήνας επεξεργάζεται αυτούς τους buffers, χειρίζεται σελίδες μνήμης που μερικές φορές μοιράζονται με την προσωρινή μνήμη σελίδων (page cache) άλλων διεργασιών. Υπό κανονικές συνθήκες, ο πυρήνας του Linux ενεργοποιεί μια λειτουργία copy-on-write πριν συμβεί οποιαδήποτε εγγραφή σε μια κοινόχρηστη σελίδα. Αυτό εμποδίζει τα δεδομένα από μια διεργασία να διαρρεύσουν στο χώρο μνήμης μιας άλλης.

Οι ερευνητές της Zellic ανακάλυψαν ότι η rxgk_decrypt_skb στερούνταν αυτής της προστασίας COW. Όταν ο πυρήνας αποκρυπτογραφεί δεδομένα σε έναν buffer που τυχαίνει να είναι μια κοινόχρηστη σελίδα, εγγράφει τα αποκρυπτογραφημένα περιεχόμενα απευθείας στη φυσική μνήμη χωρίς να δημιουργήσει πρώτα ένα ιδιωτικό αντίγραφο. Αυτό παρακάμπτει τα τυπικά δικαιώματα του συστήματος αρχείων και τις προστασίες μνήμης. Ένας επιτιθέμενος μπορεί να αντιστοιχίσει ένα ευαίσθητο αρχείο όπως το /etc/shadow ή ένα δυαδικό αρχείο SUID στο χώρο μνήμης του και στη συνέχεια να χρησιμοποιήσει την ευάλωτη διαδρομή δικτύου για να αναγκάσει τον πυρήνα να εγγράψει δεδομένα στην προσωρινή μνήμη σελίδων αυτού του αρχείου. Μόλις ο πυρήνας μεταφέρει την προσωρινή μνήμη σελίδων στο δίσκο, η τροποποίηση γίνεται μόνιμη.

Ιχνηλατώντας την καταγωγή από το Copy Fail στο DirtyDecrypt

Το DirtyDecrypt δεν είναι ένα μεμονωμένο περιστατικό. Είναι απόγονος μιας οικογένειας ευπαθειών που ξεκίνησε με το Copy Fail (CVE-2026-31431) τον Απρίλιο του 2026. Οι ερευνητές της Theori εντόπισαν πρώτοι ότι η κρυπτογραφική διεπαφή υποδοχής στον πυρήνα είχε παρόμοια λογικά σφάλματα. Μια εβδομάδα αργότερα, εμφανίστηκε το Dirty Frag. Αυτό ακολουθήθηκε από το Fragnesia, το οποίο στόχευε το υποσύστημα XFRM. Κάθε μία από αυτές τις ευπάθειες μοιράζεται την ίδια βασική αιτία: την αποτυχία επαλήθευσης της ιδιοκτησίας της σελίδας πριν από την εκτέλεση εγγραφών σε επίπεδο πυρήνα.

Αυτή η αλληλουχία αποκαλύψεων υπογραμμίζει ένα συστημικό ζήτημα στον τρόπο με τον οποίο ο πυρήνας Linux χειρίζεται τις σύγχρονες βελτιστοποιήσεις μνήμης δικτύου. Η εισαγωγή του MSG_SPLICE_PAGES και άλλων μηχανισμών zero-copy υψηλής απόδοσης έχει εισαγάγει πολυπλοκότητα που η τρέχουσα υποδομή COW δυσκολεύεται να ρυθμίσει. Ο ερευνητής γνωστός ως 0xdeadbeefnetwork σημείωσε ότι μόλις μια διόρθωση για μια παραλλαγή φτάσει στο δημόσιο δέντρο κώδικα, η εργαλειοποίηση της επόμενης παραλλαγής είναι μια τυπική άσκηση για τους επαγγελματίες ασφαλείας. Αυτός ο γρήγορος κύκλος ανάπτυξης n-day είναι μια υπενθύμιση ότι μια ενημέρωση κώδικα σε ένα υποσύστημα δεν εγγυάται την ασφάλεια ενός άλλου που χρησιμοποιεί παρόμοια λογική.

Γιατί συγκεκριμένες διανομές παραμένουν στο στόχαστρο

Ο αντίκτυπος του CVE-2026-31635 εξαρτάται σε μεγάλο βαθμό από τη διαμόρφωση του πυρήνα. Η ευπάθεια απαιτεί την ενεργοποίηση της επιλογής CONFIG_RXGK. Αυτός είναι ο λόγος για τον οποίο διανομές όπως το Fedora, το Arch Linux και το openSUSE Tumbleweed διατρέχουν υψηλότερο κίνδυνο. Αυτές οι διανομές συχνά προτιμούν χαρακτηριστικά αιχμής και ευρύτερη υποστήριξη υλικού, η οποία περιλαμβάνει την ενεργοποίηση εξειδικευμένων ενοτήτων δικτύωσης και κρυπτογράφησης που είναι απενεργοποιημένες σε πιο συντηρητικές εταιρικές εκδόσεις όπως το RHEL ή το Debian Stable.

Σε περιβάλλοντα cloud, αυτή η ευπάθεια παρουσιάζει σημαντικό κίνδυνο για την απομόνωση των containers. Εάν ένας κόμβος εργασίας (worker node) εκτελεί έναν ευάλωτο πυρήνα, ένα παραβιασμένο container μπορεί να χρησιμοποιήσει το DirtyDecrypt για να διαφύγει από το τοπικό του περιβάλλον. Αντικαθιστώντας την προσωρινή μνήμη σελίδων για κοινόχρηστα δυαδικά αρχεία ή δομές πυρήνα, ο επιτιθέμενος μπορεί να μετακινηθεί από ένα περιορισμένο pod σε πλήρη πρόσβαση root στον κεντρικό υπολογιστή. Αυτό ουσιαστικά καταρρέει το μοντέλο ασφάλειας πολλαπλών ενοικιαστών (multi-tenant) στο οποίο βασίζονται το Kubernetes και άλλοι ενορχηστρωτές για την απομόνωση του φόρτου εργασίας.

Η συζήτηση για το killswitch και το μέλλον των ενημερώσεων του πυρήνα

Ο όγκος των αποκαλύψεων στον πυρήνα ανάγκασε μια επανεξέταση του τρόπου με τον οποίο διαχειριζόμαστε την ασφάλεια του Linux. Ο Sasha Levin, ένας εξέχων συντηρητής του πυρήνα, πρότεινε πρόσφατα ένα killswitch πυρήνα. Αυτό το εργαλείο επιτρέπει σε έναν διαχειριστή να απενεργοποιήσει μια συγκεκριμένη λειτουργία του πυρήνα κατά το χρόνο εκτέλεσης χωρίς επανεκκίνηση. Εάν ανακαλυφθεί μια ευπάθεια zero-day όπως το DirtyDecrypt σε μια συγκεκριμένη λειτουργία δικτύου, ο διαχειριστής μπορεί να πει στον πυρήνα να σταματήσει την εκτέλεση αυτής της λειτουργίας και να επιστρέψει μια σταθερή τιμή αντ' αυτής. Αυτό λειτουργεί ως βαλβίδα διακοπής έκτακτης ανάγκης για το κύτος του πλοίου ενώ προετοιμάζεται μια μόνιμη ενημέρωση κώδικα.

Ορισμένοι προγραμματιστές ανησυχούν για τις επιπτώσεις στην ασφάλεια του ίδιου του killswitch. Εάν ένας επιτιθέμενος αποκτήσει αρκετά προνόμια για να ενεργοποιήσει το killswitch, θα μπορούσε θεωρητικά να απενεργοποιήσει ενότητες ασφαλείας ή λειτουργίες ελέγχου. Ωστόσο, η τρέχουσα πραγματικότητα του οικοσυστήματος Linux είναι ότι η εφαρμογή ενημερώσεων είναι πολύ αργή για την ταχύτητα της σύγχρονης ανάπτυξης exploits. Το killswitch παρέχει ένα αντιδραστικό μέτρο για οργανισμούς που δεν μπορούν να περιμένουν για μια πλήρη δοκιμή παλινδρόμησης (regression test) μιας νέας έκδοσης πυρήνα. Είναι μια πραγματιστική απάντηση στο γεγονός ότι το λογισμικό μας είναι ολοένα και πιο περίπλοκο για να είναι απαλλαγμένο από σφάλματα.

Το Rocky Linux και η κίνηση προς επιταχυνόμενες διορθώσεις ασφαλείας

Το Rocky Linux ακολούθησε μια διαφορετική προσέγγιση εισάγοντας ένα ειδικό αποθετήριο ασφαλείας. Παραδοσιακά, οι διανομές downstream περιμένουν τους παρόχους upstream να κυκλοφορήσουν μια ελεγμένη ενημέρωση κώδικα πριν τη στείλουν στους χρήστες τους. Αυτό δημιουργεί ένα παράθυρο ευπάθειας όταν ένα PoC είναι δημόσιο αλλά η επίσημη ενημέρωση έχει κολλήσει σε έναν κύκλο διασφάλισης ποιότητας (QA). Το νέο αποθετήριο ασφαλείας του Rocky Linux είναι μια προαιρετική λειτουργία που αποστέλλει επείγουσες διορθώσεις μόλις αυτές γίνουν διαθέσιμες, ακόμη και αν δεν έχουν φτάσει ακόμη στον κύριο πυρήνα (mainline kernel).

Αυτή η κίνηση είναι αμφιλεγόμενη επειδή σπάει την αυστηρή συμβατότητα με το upstream. Εάν η ομάδα του Rocky Linux διορθώσει ένα σφάλμα και οι συντηρητές του upstream επιλέξουν αργότερα μια διαφορετική διόρθωση, οι δύο πυρήνες θα αποκλίνουν. Οι συντηρητές αναγνωρίζουν αυτόν τον κίνδυνο, αλλά πιστεύουν ότι η προστασία των χρηστών τους είναι πιο σημαντική από την τέλεια ευθυγράμμιση των εκδόσεων. Αυτό αντικατοπτρίζει μια ευρύτερη στροφή στον κλάδο προς την ιεράρχηση της ευελιξίας απέναντι στην ενεργή εκμετάλλευση. Για τους διαχειριστές, σημαίνει μια επιλογή μεταξύ της σταθερότητας του παραδοσιακού κύκλου κυκλοφορίας και της ανθεκτικότητας μιας πιο επιθετικής στρατηγικής ενημερώσεων.

Μετριασμός του κινδύνου σε περιβάλλοντα containers και bare-metal

Η άμυνα έναντι του CVE-2026-31635 απαιτεί κάτι περισσότερο από μια απλή τυπική ενημέρωση. Οι οργανισμοί πρέπει πρώτα να επαληθεύσουν εάν τα συστήματά τους είναι καν ευάλωτα. Ο έλεγχος της διαμόρφωσης του πυρήνα για το CONFIG_RXGK είναι το πρώτο βήμα. Εάν η ενότητα είναι ενεργοποιημένη αλλά δεν απαιτείται για τον φόρτο εργασίας σας, η απενεργοποίησή της μέσω μιας μαύρης λίστας (denylist) ενοτήτων πυρήνα είναι ο πιο αποτελεσματικός άμεσος μετριασμός. Αυτό αφαιρεί εντελώς την επιφάνεια επίθεσης χωρίς την ανάγκη επανεκκίνησης σε ορισμένες περιπτώσεις.

Από την άποψη του κινδύνου, θα πρέπει να υποθέσετε ότι οι τοπικοί χρήστες έχουν τη δυνατότητα να εκτελέσουν αυτό το PoC εάν έχουν πρόσβαση σε κέλυφος (shell). Αυτό καθιστά απαραίτητη την αυστηρή παρακολούθηση του καταλόγου /etc/ και των δυαδικών αρχείων SUID. Τα σύγχρονα εργαλεία ασφαλείας που παρακολουθούν την ακεραιότητα της προσωρινής μνήμης σελίδων μπορούν να σας ειδοποιήσουν εάν μια διεργασία επιχειρήσει να τροποποιήσει αρχεία μόνο για ανάγνωση μέσω μη συμβατικών διαδρομών μνήμης. Η ενημέρωση κώδικα παραμένει το χρυσό πρότυπο, αλλά μέχρι να ενημερωθεί ο στόλος σας, τα περιοριστικά προφίλ Seccomp και οι πολιτικές AppArmor μπορούν να περιορίσουν την ικανότητα των τοπικών διεργασιών να αλληλεπιδρούν με τις ευάλωτες λειτουργίες δικτύου.

Ελέγξτε τη διαμόρφωση του πυρήνα σας και επαληθεύστε εάν η διανομή σας έχει κυκλοφορήσει μια διόρθωση για το CVE-2026-31635. Οι οργανισμοί που τρέχουν Arch ή Fedora θα πρέπει να δώσουν προτεραιότητα σε αυτές τις ενημερώσεις αμέσως. Εάν διαχειρίζεστε έναν μεγάλο στόλο διακομιστών Linux, σκεφτείτε τις μακροπρόθεσμες επιπτώσεις της χρήσης πυρήνων με ευρεία σύνολα χαρακτηριστικών και αξιολογήστε εάν μια πιο θωρακισμένη, ελάχιστη διαμόρφωση πυρήνα είναι κατάλληλη για τη στάση ασφαλείας σας.

Πηγές

• NIST National Vulnerability Database (NVD) CVE-2026-31635 Record
• Linux Kernel Mailing List (LKML) Killswitch Proposal by Sasha Levin
• Zellic and V12 Security Technical Report on DirtyDecrypt
• Rocky Linux Security Repository Documentation
• MITRE ATT&CK Framework: Exploitation for Privilege Escalation (T1068)

Αποποίηση ευθύνης: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς. Δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά. Οι τεχνικές λεπτομέρειες που παρέχονται προορίζονται να βοηθήσουν τους διαχειριστές να κατανοήσουν τους κινδύνους και να εφαρμόσουν τις απαραίτητες άμυνες.