ubuntu exploit攻击来源

Ubuntu 被利用的常见攻击来源

一 软件供应链投毒

• 代表案例：XZ Utils 后门（CVE-2024-3094）。攻击者长期潜伏，向 xz 5.6.0/5.6.1 注入恶意代码，劫持 OpenSSH 的认证流程，使持有特定私钥的远程攻击者可在认证前执行任意代码。该后门通过依赖链（如 liblzma → sshd）扩散，曾波及 Fedora Rawhide、Debian 测试/不稳定 等版本；主流稳定发行版当时未广泛部署受影响版本，但事件凸显上游供应链风险。攻击入口多为被篡改的源码包或构建产物，一旦进入构建链与镜像源，影响面会快速扩大。

二 本地提权与桌面组件缺陷

• 代表案例1：accountsservice + gdm3 本地权限提升。在 Ubuntu 桌面版 上，创建符号链接 .pam_environment → /dev/zero 触发 accounts-daemon 无限循环并降权崩溃，诱导 gdm3 误判“用户数为 0”从而启动 gnome-initial-setup，即可创建具有管理员权限的新账户。该问题影响多个仍在维护的版本，修复已发布，属于典型的本地利用路径（需物理/图形会话访问）。
• 代表案例2：内核 nftables 漏洞（CVE-2023-35001）。在 Pwn2Own Vancouver 2023 被演示，利用 nft_byteorder 表达式求值阶段的缺陷实现本地提权。该漏洞展示了 Ubuntu 默认允许**非特权用户命名空间（userns）**时，如何通过内核子系统（如 nftables、io_uring）扩大攻击面，从普通用户跃迁至 root。

三 用户命名空间与 AppArmor 限制绕过

• 代表案例：Ubuntu 23.10、24.04 LTS 上的三类绕过。攻击者可通过 aa-exec 切换宽松 AppArmor 配置、利用 Busybox 默认宽松配置、或通过 LD_PRELOAD 注入 Nautilus 等受信进程，进而执行 unshare 创建不受限的命名空间。单独不构成入侵，但与需要 CAP_SYS_ADMIN/CAP_NET_ADMIN 的内核漏洞组合，将显著降低本地提权门槛。官方将其归类为纵深防御层面的弱点，建议通过内核参数 kernel.apparmor_restrict_unprivileged_unconfined=1、收紧 Busybox/Nautilus 配置等方式缓解。

四 内核 UAF 等高危本地漏洞

• 代表案例：af_unix 子系统 UAF（TyphoonPWN 2025）。在 Ubuntu 24.04.2（6.8.0-60-generic） 上，因对上游补丁的选择性回溯导致引用计数不匹配，触发 struct sk_buff 的释放后重用，可被用于本地提权。Canonical 于 2025-09-18 发布修复内核（如 6.8.0-61+）。此类漏洞通常由本地低权限进程触发，结合 FUSE、环回套接字喷洒、跨缓存攻击 等技术实现稳定利用，对服务器与桌面均构成实质威胁。