Исследователи проанализировали серьёзную уязвимость в Linux, которая позволяет повысить права доступа для недоверенных пользователей до уровня root, используя редкую ошибку — всего один ошибочный символ в коде ядра.
Источник изображения: Fotis Fotopoulos / unsplash.com
Уязвимость, отслеживаемая как CVE-2026-23111, находится в nf_tables — подсистеме ядра Linux, которая обеспечивает возможности фильтрации пакетов. Она используется для управления правилами брандмауэра и заменяет более старые подсистемы, такие как iptables, ip6tables, arptables и ebtables.
Наличие одного ошибочно введённого восклицательного знака в коде, реализующем nf_tables, привело к появлению уязвимости типа use-after-free, которая повреждает память, размещая вредоносный код по адресам памяти, не освобождённым должным образом от предыдущего содержимого. CVE-2026-23111 может использоваться непривилегированным пользователем или процессом для повышения прав доступа в системе до уровня root.
Уязвимость работает за счёт нарушения процесса удаления вердиктов — определений в рамках фреймворка nf_tables, которые решают, соответствует ли пакет правилу, требующему выполнения определённого действия. В этом процессе могут использоваться так называемые элементы catchall, которые действуют как подстановочный знак, если поиск не находит совпадений ни с одним другим элементом в наборе.
Когда карта вердиктов удаляется из памяти, элементы catchall деактивируются, а счётчик ссылок цепочки уменьшается. При возникновении ошибок удаление может быть отменено, а счётчик — увеличен. Уязвимость CVE-2026-23111 позволяет изменить этот процесс. В результате эксплойт может уменьшать значение переменной произвольное количество раз, а затем удалить и освободить цепочку, когда некоторые объекты всё ещё указывают на неё.
«Здесь мы рассмотрели, как один некорректный восклицательный знак привёл к уязвимости использования памяти после освобождения, которую может использовать непривилегированный пользователь в Debian и Ubuntu для повышения привилегий до уровня root. Хотя эксплойт многократно активирует уязвимость использования памяти после освобождения (use-after-free), приводящую к утечке базового адреса ядра, утечке адресов кучи и перехвату потока управления, тесты стабильности показали стабильность более 99 % в неактивной системе», — сообщили в понедельник исследователи компании Exodus Intelligence.
Обнаруженная уязвимость была исправлена в ядре в феврале. Компания FuzzingLabs продемонстрировала эксплойт в апреле. Компания Exodus Intelligence, обнаружившая ошибку, включила свой собственный эксплойт в пост в понедельник. Он работал на Debian и Ubuntu.
CVE-2026-23111 — одна из как минимум трёх мощных уязвимостей повышения привилегий, обнаруженных в Linux за последние недели. Эти уязвимости особенно опасны, поскольку в сочетании с отдельным эксплойтом могут использоваться для обхода встроенных в ОС средств защиты.
Источник: