На повестке две новые угрозы — массовые атаки через уязвимость в sudo, позволяющие получить контроль над Linux-системами, и аппаратная атака Battering RAM, которая обходит защиту облачных процессоров с помощью скрытого устройства-интерпозера. Но есть и хорошие новости: команда безопасности Redis наконец-то выпустила патчи для устранения уязвимости, которая жила в коде 13 лет.
Критическая уязвимость в sudo
Агентство кибербезопасности США (CISA) предупредило о массовой эксплуатации критической уязвимости (CVE-2025-32463) в утилите sudo для Linux. Она предоставляет любому локальному пользователю с обычными правами полный контроль над системой (привилегии root).
Суть уязвимости связана с опцией -R (chroot), которая позволяет пользователю выполнять команды в изолированном каталоге, выступающем в качестве корневого. Злоумышленник может создать в контролируемом им каталоге поддельный конфигурационный файл /etc/nsswitch.conf. Когда sudo с опцией chroot обращается к этому файлу, он загружает вредоносную библиотеку, что приводит к выполнению произвольных команд с правами суперпользователя.
Уязвимость затрагивает sudo до версии 1.9.17p1: чтобы защитить систему, обновите утилиту. В будущих релизах проблемная опция chroot будет полностью удалена.
Подробнее
Аппаратная атака Battering RAM, которая обходит защиту процессоров Intel и AMD
Специалисты из KU Leuven (Лёвенского католического университета) и Бирмингемского университета продемонстрировали аппаратную атаку Battering RAM. Она может обойти защиту новейших процессоров Intel и AMD, используемых в облачных сервисах. Для атаки нужен физический доступ к оборудованию, но для неё не требуется много времени. Это делает инфраструктуру уязвимой для инсайдеров: технического персонала дата-центров, сотрудников правоохранительных органов или других людей, имеющих даже краткосрочный доступ к серверам.
Атака разрушает работу защитных механизмов Intel SGX и AMD SEV-SNP. Как всё работает:
- Злоумышленник устанавливает между процессором и модулем оперативной памяти (DRAM) специальное устройство-интерпозер. Оно работает только с памятью DDR4, но более продвинутая версия может атаковать и DDR5.
- Интерпозер невидим для операционной системы: он скрытно перенаправляет обращения к защищённой памяти в области, контролируемые злоумышленником. Это позволяет обойти шифрование памяти и получить доступ к незашифрованным данным.
Поскольку проблема носит аппаратный характер, её нельзя исправить обновлением ПО или прошивки. Основная защита — организационные меры:
- Обеспечение физической безопасности: строгий контроль доступа к серверным стойкам в дата-центрах, проверка персонала и мониторинг цепочки поставок оборудования.
- Использование дополнительных функций защиты: для некоторых серверных процессоров Intel Xeon существует функция TME-MK (Total Memory Encryption – Multi-Key), которая может обеспечить дополнительный уровень защиты.
Патчи для устранения критической уязвимости Redis
Команда безопасности Redis выпустила патчи для устранения критической уязвимости CVE-2025-49844 (10 баллов из 10 возможных по шкале CVSS). Она сохранялась в коде около 13 лет и позволяла аутентифицированным злоумышленникам выполнять произвольный код на удалённом хосте.
Тип уязвимости — use-after-free баг. С его помощью можно выйти из песочницы Lua, используя специально подготовленный Lua-скрипт, получить постоянный доступ к Redis-хосту и добиться удалённого выполнения кода. А дальше — украсть конфиденциальные данные, развернуть вредоносное ПО или перемещаться по сетевой инфраструктуре.
Специалисты Redis и Wiz рекомендуют как можно скорее установить патчи, чтобы устранить уязвимость. Для дополнительной защиты Redis от удалённых атак также рекомендуется:
- включить обязательную аутентификацию;
- отключить Lua-скриптинг и функции, которые не используются;
- запускать Redis от имени пользователя без root-прав;
- настроить логирование и мониторинг активности Redis;
- предоставить доступ только авторизованным сетям;
- внедрить контроль доступа на сетевом уровне с помощью брандмауэров и VPC.
