Хуже Windows. Популярнейший дистрибутив Linux Ubuntu кишит уязвимостями нулевого дня

Переход на Linux не спасет

OC Ubuntu, самый известный и популярный дистрибутив Linux, оказался максимально небезопасным для пользователей. Менее чем за трое суток хакеры выявили в ней три крупных уязвимости нулевого дня, которые, теоретически могли существовать в системе месяцами, если не годами. Портал Truelist в начале 2023 г. писал, что Ubuntu была установлена на 33,9% Linux-компьютеров в мире.

Под термином «уязвимость нулевого дня» (0-day, zero day) подразумевается брешь в программном обеспечении, для которой не существует устраняющего ее обновления. Другими словами, стать жертвой ее эксплуатации с равной степенью вероятностью могут и пользователи, регулярно обновляющие используемое ими ПО, и те, кто предпочитает пользоваться старыми, но зато проверенными и стабильно работающими версиями программ.

В случае Ubuntu разработчики в лице компании Canonical могут успеть не ударить в грязь лицом и поскорее выпустить патчи для всех трех уязвимостей, пока хакеры не начали их активно эксплуатировать. Выявить «дыры» удалось участникам хакатона Pwn2Own, то есть, в некотором роде, «белым хакерам» — за свои достижения они получили крупные суммы денег от организаторов и спонсоров мероприятия, так что этот конкурс вполне можно считать своеобразной программой Bug Bounty. В России подобные начинания, как сообщал CNews, не очень приветствуются силовыми ведомствами.

Кто взломал Ubuntu

В числе тех, кто нашел «дыру» в Ubuntu в ходе Pwn2Own, оказался хакер Кайл Зенг (Kyle Zeng) из команды ASU SEFCOM. Он обнаружил в системе уязвимость двойного высвобождения памяти (double free), за что получил приз в размере $30 тыс. (2,293 млн руб. по курсу ЦБ на 27 марта 2023 г.).

Фото: Canonical Отказ от Windows в пользу Ubuntu совершенно не гарантирует надежную защиту от взлома.

Такую же сумму выиграл и хакер Минги Чо (Mingi Cho) из группы Theori. Эти деньги были выплачены организаторами за выявление уязвимости использования после освобождения (Use-After-Free).

Те же $30 тыс. заработал и участник под псевдонимом Synacktiv, обнаруживший уязвимость, благодаря которой хакеры могут повышать права пользователя в системе.

Разработчики бездействуют

В целом, настольная ОС Ubuntu была одной из основных целей на конкурсе Pwn2Own.

Систему ломали многократно, и один из участников наглядно продемонстрировал, что специалисты Canonical не очень хотят обеспечивать безопасность пользователей их ОС.

Сергей Бычков, ЦИТ Красноярского края: В киберпространстве воюют киберармии сильнейших стран безопасность

Хакер Бьен Фам (Bien Pham) из команды Qrious Security смог воспользоваться одной из ранее найденных в системе уязвимостей (ее индекс или хотя бы принцип действия не раскрываются), за что получил $15 тыс. (1,146 млн.).

Нельзя исключать, что в Ubuntu содержится немало как еще не выявленных «дыр», как и тех, которые разработчики не спешат латать. Отметим также, что Canonical вошла в список компаний, поддержавших санкции Запада и отвернувшихся от России и своих российских пользователей.

Все по-честному

Организаторы Pwn2Own не ставили целью уничтожение репутации Ubuntu. Участники конкурса ломали и другие системы, а некоторым даже удалось хакнуть автомобиль, который одна из многочисленных компаний миллиардера Илона Маска (Elon Musk) совершенствует на протяжении почти шести лет.

Речь про электрокар Tesla Model 3, премьера которого состоялась в июле 2017 г. Как оказалось, программное обеспечение автомобиля оказалось максимально уязвимо к атаке TOCTOU (time-of-check to time-of-use), что с легкостью продемонстрировали эксперты команды Synacktiv. На этом они заработали $100 тыс. в качестве приза (7,645 млн руб.), а также новый, едва съехавший с конвейера седан Tesla Model 3.

Но всего этого участникам Synacktiv было мало, и они забрали у организаторов Pwn2Own еще $40 тыс. (3,058 млн руб.), показав всему миру, что атаке TOCTOU не способна противостоять не только прошивка популярного американского автомобиля, но и вторая по распространенности в мире настольная ОС — Apple macOS. Она 16,26% мирового рынка дестопных систем против 71,78% у Windows всех версий и 2,94% у всех существующих дистрибутивов Linux (данные StatCounter за февраль 2023 г.).

В новейшей ОС Windows 11 тоже нашлись свои недочеты в плане безопасности. Например, она подвержена уязвимости Use-After-Free, в ней, как и в Ubuntu, еще есть скрытые способы повышения прав пользователя, которыми, вполне вероятно, пользуются хакеры. Выявление этих двух недостатков в системе Microsoft обогатило хакеров в сумме на $60 тыс. (4,587 млн руб.).