Як інформує «Перший Новинний» із посиланням на матеріал видання Wired, інструмент на основі штучного інтелекту виявив у ядрі Linux вразливість під назвою GhostLock (CVE-2026-43499), яка залишалася непоміченою близько 15 років. Дефект дозволяв будь-якому користувачеві з локальним доступом безперешкодно отримати права root. Цей максимальний рівень привілеїв надає зловмиснику повний контроль над операційною системою, файловою структурою та мережевими параметрами.
Масштаб поширення та технічні особливості атаки
Помилка існувала в коді ядра Linux, який використовувався у більшості найпопулярніших дистрибутивів починаючи з 2011 року. Для реалізації атаки зловмисникам не потрібні були спеціальні дозволи, віддалений мережевий доступ або тривала підготовка: достатньо було мати звичайний обліковий запис на вразливій машині.
Розробники з компанії Nebula Security повідомили, що створений експлойт також дозволяв успішно виходити за межі ізольованих контейнерів. Під час проведення внутрішніх тестів і симуляцій атака спрацьовувала приблизно у 97% випадків, що свідчить про надзвичайно високу стабільність та небезпеку цієї загрози.
Механізм виникнення проблеми та фінансова винагорода
Збій належить до класу use-after-free — уразливостей, які виникають у тих випадках, коли програма продовжує некоректно звертатися до визначеної ділянки/«комірки» оперативної пам’яті після того, як вона вже була звільнена операційною системою. Подібний архітектурний недолік дозволяє стороннім особам підмінити дані безпосередньо в пам’яті та виконати власний шкідливий код із найвищими системними правами. За виявлення цієї проблеми команда дослідників отримала грошову виплату в розмірі 92 337 доларів у межах спеціальної програми Google kernelCTF, яка спрямована на пошук критичних помилок у ядрі Linux.
Примітно, що GhostLock вдалося знайти за допомогою VEGA — інноваційного інструменту компанії Nebula Security на базі штучного інтелекту, який у самостійному режимі аналізує вихідний код і шукає потенційні помилки. Ця розробка стала частиною серії успішних виявлень уразливостей підвищення привілеїв у ядрі Linux, які інтелектуальні системи знайшли під час детальної перевірки застарілих рядків коду, що тривалий час не піддавалися ретельному людському аудиту.
Поточний стан виправлень у дистрибутивах
Технічне рішення для усунення прогалини було випущене ще у квітні, проте оновлення для різних операційних систем поширюються нерівномірно. Системним адміністраторам необхідно перевірити наявність виправлених пакетів вручну, оскільки деякі версії дистрибутивів Linux все ще позначали цю проблему як актуальну або таку, що перебуває в процесі ліквідації.
Інструкція з видалення вразливості та захисту системи
Для усунення загрози GhostLock і закриття «діри безпеки» необхідно виконати комплекс дій залежно від використовуваного дистрибутива. Оскільки проблема закладена на рівні ядра, головним методом захисту є його повне оновлення до актуальної безпечної версії, де розробники виправили логіку керування пам’яттю та заблокували повторне звернення до звільнених адрес.
Крок 1: Перевірка поточної версії ядра
Перед початком проведення технічних робіт необхідно визначити версію ядра, на якій працює система. Для цього у терміналі використовується команда:
uname -r
Якщо встановлена версія є застарілою, систему потрібно терміново оновити.
Крок 2: Оновлення пакунків та ядра операційної системи
Процес встановлення виправлень відрізняється залежно від сімейства Linux:
- Для дистрибутивів Ubuntu, Debian та їхніх похідних (Mint, Pop!_OS):
Необхідно синхронізувати індекси пакунків із репозиторіями та інсталювати останні версії програмного забезпечення і ядра за допомогою команд:
sudo apt update && sudo apt dist-upgrade
- Для дистрибутивів Red Hat Enterprise Linux (RHEL), CentOS, Rocky Linux або AlmaLinux:
Оновлення бази пакунків та заміна вразливого ядра відбуваються через менеджер пакунків dnf:
sudo dnf update kernel
- Для дистрибутивів Arch Linux, Manjaro:
Повне оновлення всієї системи разом із ядром здійснюється однією командою:
sudo pacman -Syu
Крок 3: Перезавантаження та фінальний контроль
Оскільки нове ядро не може активуватися у працюючій оперативній пам’яті автоматично, після завершення завантаження всіх файлів обов’язково виконується перезавантаження комп’ютера чи сервера:
sudo reboot
Після повторного запуску системи слід знову перевірити версію працюючого ядра за допомогою команди uname -r, щоб переконатися, що завантажилася виправлена версія. Також адміністраторам великих інфраструктур рекомендується додатково перевірити журнали безпеки на предмет підозрілих локальних запусків у період, коли система була вразливою.
Раніше ми писали про анатомію сучасного пошукового маркетингу.
