Debian Exploit 攻击典型案例
典型案例
2003 年 Debian 官方服务器入侵(CAN-2003-0961):攻击者先利用窃取的开发者账号登录 klecker.debian.org,通过 HTTP 获取本地内核木马,利用 brk 系统调用整数溢出进行本地提权并安装 SuckIT root-kit;随后以同一账号入侵 master 并再次提权,继而借助已控 master 的权限绕行入侵 murphy,次日又入侵 gluck 并安装 root-kit。官方通报未披露攻击者真实身份,仅称“入侵者/攻击者”。该事件与内核漏洞 CAN-2003-0961 直接相关。
CVE-2016-1240(Debian/Ubuntu 上的 Tomcat 本地提权):由安全研究员 Dawid Golunski 披露与发布利用代码。成因是 Debian/Ubuntu 打包的 Tomcat 日志文件权限配置不当,本地低权限用户可借此提升至 root。此类漏洞常被用于已取得受限访问的服务器上完成权限跃迁。
CVE-2016-1247(Debian/Ubuntu 上的 Nginx 本地提权):同样由 Dawid Golunski 公开。由于 Nginx 在 Debian 系列中新日志目录的权限不安全,本地 www-data 可替换日志并触发守护进程以 root 身份重新打开,从而实现提权。
CVE-2022-0543(Debian 系 Redis Lua 沙盒逃逸 RCE):由巴西研究员 Reginaldo Silva 于 2022-03-08 披露。问题源于 Debian 打包环境对 Redis Lua 沙盒的修改,导致可逃逸并在受影响系统上执行任意代码;影响范围限定在 Debian 及其衍生版。
CVE-2017-16995(eBPF 验证器计算错误导致本地提权):2018-03-16 攻击代码公开,影响 Linux Kernel 4.14–4.4,在 Ubuntu/Debian 环境中可被非特权用户利用进行本地提权。官方补丁未发布稳定版前,可通过设置 kernel.unprivileged_bpf_disabled=1 缓解风险。
防护要点
