Ubuntu 常见 Exploit 攻击路径与防护要点
一 内核与命名空间相关提权
- 用户命名空间 + 内核子系统:在部分 Ubuntu 版本中,非特权用户可通过开启的用户命名空间访问复杂内核面,例如 nftables(存在如 CVE-2023-35001 等历史问题)与 io_uring,攻击者借此构造读写原语或越界访问实现本地提权。近年研究亦显示 nftables 频繁出现可利用缺陷,是内核攻击面中的“高发区”。
- 用户命名空间限制绕过:在 Ubuntu 23.10、24.04 LTS 上,研究者公开了通过 aa-exec、BusyBox、LD_PRELOAD 等方式绕过基于 AppArmor 的命名空间限制,从而在命名空间内获得更宽松的能力,再与需要 CAP_SYS_ADMIN/CAP_NET_ADMIN 的内核漏洞组合形成提权链。官方将其归为纵深防御弱点,建议通过内核参数 kernel.apparmor_restrict_unprivileged_unconfined=1、收紧 BusyBox/Nautilus 的 AppArmor 配置、加固 bwrap 等方式缓解。
- 历史内核漏洞利用:如 Dirty Pipe(CVE-2022-0847) 影响 5.8–5.17 内核,允许本地用户向只读文件写入,常被用于覆盖敏感文件或配合 SUID 程序提权;又如 CVE-2023-35001 被用于 Pwn2Own 的 Ubuntu 本地提权演示,体现 nftables 表达式解析与对齐等细节可被利用。
二 本地配置与服务滥用
- SUID/SGID 滥用:查找并滥用具有 SUID/SGID 位的程序(如 find、vim、nmap 的旧版本等)可直接或间接获得更高权限;常见流程为:枚举 SUID 文件 → 选择可控程序 → 触发以所有者权限执行命令。
- sudo 配置缺陷与漏洞:弱化的 sudo 规则(如允许以其他用户身份执行特定命令、NOPASSWD、危险命令拼接)或已知 sudo 漏洞可被利用提权;应审计 /etc/sudoers 与 /etc/sudoers.d,最小化授权。
- 定时任务与服务脚本:世界可写或权限不当的 cron 任务、systemd 服务、启动脚本、.bashrc/.profile 等可被植入反向 shell 或提权代码,或被劫持执行恶意命令。
- 环境变量污染与 PATH 劫持:通过修改 PATH、LD_PRELOAD、LD_LIBRARY_PATH 等,诱导特权程序加载恶意二进制或库,实现权限提升。
- 特权服务缺陷:如 accounts-daemon + GNOME 的历史问题曾被用于触发初始化流程、创建具有 sudo 权限的新管理员账户(影响包括 16.04/18.04/20.04/20.10 等),提醒桌面组件与账户服务的安全配置同样关键。
三 容器与虚拟化滥用
- LXD/LXC 权限提升:当普通用户处于 lxd 组时,可导入镜像并挂载宿主根文件系统至容器,从而在容器内以高权限访问宿主机文件,进而获取 root;典型步骤包括:准备精简镜像(如 Alpine)、导入并初始化 LXD、挂载 / 到容器内并 chroot 或提权。该路径在渗透测试与 CTF 中较为常见。
四 攻击传播与入侵路径
- 社会工程与恶意软件:钓鱼邮件、恶意广告、捆绑安装器、伪装更新等诱导用户执行恶意代码或下载木马。
- 不安全配置与远程暴露:以 root 运行服务、开放不必要端口、弱口令/默认口令、未打补丁服务,均易被自动化扫描与利用。
- 供应链与公共网络:依赖的软件源/容器镜像被投毒,或在公共 Wi‑Fi 环境下遭中间人攻击与恶意脚本注入。
五 快速自查与加固清单
- 版本与补丁:及时更新内核与关键组件(如 apt-get update && apt-get upgrade);关注 Ubuntu Security Notices 与已修复的 CVE。
- 命名空间与 AppArmor:审核命名空间使用与 AppArmor 配置;必要时启用 kernel.apparmor_restrict_unprivileged_unconfined=1,收紧 aa-exec/BusyBox/Nautilus 的宽松配置,加固 bwrap。
- 最小权限:清理不必要的 SUID/SGID;用 visudo 精细化 sudo 授权;限制 cron、systemd、启动脚本的可写与可改权限。
- 容器安全:避免将普通用户加入 lxd 组;仅使用受信任镜像;限制容器挂载点与能力(capabilities)。
- 监测与审计:部署 Falco/OSSEC/Wazuh 等检测异常提权与敏感文件访问;使用 LinPEAS、Linux Exploit Suggester、pspy 做合规自查与基线巡检(仅在授权环境)。
