Linux零日漏洞给移动设备带来巨大威胁

大多数Linux厂商都会及时修复这项权限提升漏洞，但多年来仍有不少Linux设备处于由此带来的安全威胁之下。

这项存在于Linux内核当中的新型零日漏洞已经给Linux设备的安全保护工作带来严峻挑战，特别是那些难于更新的设备类型。管理员们目前可以利用各类标准更新工具为Linux台式机与服务器安装补丁，但另外一些Linux设备的运气就没那么好了。

这项权限提升漏洞允许应用程序将内核作为一位本地用户并获取root访问权限，Perception Point公司联合创始人兼CEO Yevgeny Pats指出，这项漏洞也正是由其发现。其存在于Linux内核3.8以及更高版本当中，影响到“数千万”台32位与64位Linux PC及服务器设备。由于Android系统同样使用该Linux内核，因此这项安全漏洞同样会影响到运行有“巧克力棒”以及更高系统版本的Android设备——这部分产品占当前全部Android用户的66%左右。Linux还被广泛应用于嵌入式系统以及物联网装置当中，这将进一步扩大此漏洞的影响范围。

这项安全漏洞关系到内核驱动程序如何利用keyrings机制保存内核中的安全数据、验证以及加密信息。每个进程都能够为当前会话创建一个keyring并为其分配对应名称。如果该进程当中已经包含一个会话keyring，那么同一系统就会利用新的keyring对原有的进行替代。当某个进程试图利用同样的keyring替换会话中的现有keyring时，这项漏洞就会出现。具体来讲，当攻击者试图访问keyring对象并将本地用户权限提升为root级别时，该漏洞会造成使用后释放问题。由于攻击者已经完成了权限提升，因此其将有可能对目标设备执行任意代码。

这项存在于2012年之后新版本内核中的漏洞还可能允许攻击者执行root级别操作，例如删除文件、查看隐私信息并在目标系统之上安装其它程序等等。不过要触发该项漏洞(CVE 2016-0728)，攻击者需要首先接触到目标设备，Pats指出。一般来说，恶意人士会通过诱导用户点击钓鱼链接以及下载恶意软件的方式实现与目标设备的对接。

“尽管我们以及内核安全团队都还没有发现任何对此安全漏洞进行利用的实际安全，但我们仍然建议安全团队对潜在受影响设备进行检查，并尽快推出修复补丁，”Pats解释称。

内核开发团队已经得到通知，而且预计相关补丁将很快以更新方式推出。如果未能被包含在更新工具当中(目前红帽与Ubuntu都已经发布了自己的更新补丁)，管理员应当尽快手动部署更新方案。然而，此次更新在具体实施上可能存在障碍，特别是考虑到管理员在面对容器偏重型环境时可能很难了解其中到底运行着哪些具体容器。

“由于无法查看环境当中的具体运行对象，防御工作将无法开展，”Black Duck软件公司战略副总裁Mike Pittenger表示。

尽管各类Linux发行版能够通过各类常见更新渠道对这一存在于Linux台式机与服务器上的漏洞进行修复，但在移动设备、嵌入式系统以及物联网装置层面，更新工作将变得非常复杂。这意味着方案供应商首先需要构建补丁，而后指导用户以其完全不熟悉的方式进行安装。考虑到这一点，我们尚不清楚谷歌公司是否会在下个月发布的Android更新当中包含这项内核修复条目。

“根据以往经验，这意味着很多系统将在未来数年内始终面临着这项已知安全漏洞带来的严重威胁，”Pittenger指出。

Perception Point对该安全漏洞进行了概念验证，其在GitHub上运行于配备有3.18内核版本的64位Linux系统之上。不过尽管概念验证方案已经出炉，恶意人士仍然很难对其加以利用。Perception Point在其报告当中指出，新一代英特尔CPU中提供的管理模式访问预防与管理模式执行预防两项功能使攻击者很难利用这项安全漏洞。SELinux则为Android设备带来了另一重安全保障。

企业环境下的Linux绝不仅仅运行在服务器以及Android设备当中。管理员们应当检查自己管理的容器，并了解其应用程序以及底层操作系统使用的是哪些Linux版本。总而言之，该漏洞很可能在意料之外的领域给我们造成困扰。