„GhostLock”: ВИ откри критичен пропуст во Linux скриен 15 години

Пропустот, најден од ВИ алатката VEGA на Nebula Security, ги погодува речиси сите Linux дистрибуции од 2011 година наваму и на нападнат корисник му дава целосна root контрола за околу пет секунди. Погодена е речиси секоја cloud инфраструктура во светот што се потпира на Docker или Kubernetes.

Истражувачите од Nebula Security на 7 јули јавно го обелоденија пропустот наречен „GhostLock”, формално регистриран како CVE-2026-43499, придружен со целосен технички опис и работен proof-of-concept код. Пропустот бил внесен во Linux кернел 2.6.39 уште во далечната 2011 година и останал незабележан речиси една и пол деценија, до моментот кога ВИ агент почнал систематски да чешла над стар код што малкумина луѓе го читаат.

Што точно е „GhostLock” и зошто е толку опасен

Технички станува збор за use-after-free пропуст во делот на кернелот кој се грижи за priority inheritance преку futex механизмот. Според The Hacker News, помошна функција задолжена да „прочисти” по прекинат процес пропушта да отстрани показател кон меморија што веќе е ослободена. Кернелот потоа продолжува да ѝ верува на застарената адреса. Тоа е класичен пропуст од типот UAF: доволно е обичен, неприлегиран програм да ги повика вообичаените threading операции за напаѓачот да ја преземе таа „заборавена” меморија, да фалсификува објекти и на крајот да принуди кернелот да изврши негов код како root.

Според Cybernews, стапката на успех при тестовите изнесувала 97%, а Google им доделил награда од 92.337 долари на тимот преку kernelCTF програмата за bug bounty. CVSS оценката е 7,8 од 10 (висока, но не критична) единствено затоа што напаѓачот мора претходно да има локален пристап до машината. Тоа не е голема пречка во реални сценарија.

Container escape е делот што мора да ги разбуди сите

Најголемата опасност не е класичниот сервер, туку контејнеризираната инфраструктура. Според Techtimes, „GhostLock” успешно бега од Docker и Kubernetes контејнери без да бара никакви посебни привилегии или capabilities. Тоа е клучно бидејќи контејнерите не работат на посебни кернели, туку го делат кернелот на домаќинот. Кога пропустот е во него, безбедносната граница помеѓу закупени пакети, workload-и или клиенти се распаѓа.

За македонскиот пазар тоа значи неколку многу конкретни ризични точки:

  • Хостинг провајдерите кои нудат VPS и managed Kubernetes на локални клиенти. Еден компромитиран pod може да отвори пат до цел node, а од таму и до соседните.
  • Банките и финансиските институции кои во последниве години масовно се пренасочија кон containerized микросервиси, често без внатрешен red team кој би можел да го тестира вакво сценарио.
  • Телекомите и ISP-ите кои користат Linux во речиси секој сегмент, од core мрежа до billing системи.
  • CI/CD runner-ите во outsourcing компаниите. Ако runner-от изврши компромитиран pull request, „GhostLock” му дава на напаѓачот root на build машината и оттаму пристап до потписи за верзии, deployment клучеви и продукциски токени.
  • Јавната администрација и универзитетите, каде застарените Linux дистрибуции не се исклучок туку правило.

Зошто ВИ ги гледа грешките што луѓето ги пропуштаат

„GhostLock” не е изолиран случај. Ова е втора година по ред во која автоматизирани алатки со вграден LLM пронаоѓаат критични пропусти во делови од Linux кернелот кои со децении не биле подложени на длабока ревизија. Според The Hacker News, кратко пред „GhostLock” истражувачите објавија и Bad Epoll (CVE-2026-46242), додека уште претходно се откри Copy Fail (CVE-2026-31431), веќе внесен во CISA-иниот каталог на активно експлоатирани пропусти.

Заедничкиот именител на овие три случаи е стара, тешка кернел машинерија која со години растела инкрементално, никој веќе не ја чита во целина, но е присутна во буквално секој сервер во светот. VEGA најде bug во Linux, Mythos во проектот Glasswing најде поврзан пропуст неколку дена претходно, додека тимови како Xint веќе демонстрираа дека само еден час скенирање со ВИ е доволен да се извлече root бубачка стара речиси десет години.

Пораката за индустријата е двојна: ВИ алатките повеќе не се експеримент во offensive security, туку рутинска компонента. Истовремено, ниту тие не се самодоволни. Bad Epoll стана познат зошто автоматизираниот скен нашол само една од две race conditions во истиот блок код, а втората ја открил човек. Комбинацијата на двете е она што дава резултати.

Што треба веднаш да направат македонските sysadmin-и и devops тимови

Оваа делница ја пишуваме буквално како чек-листа, бидејќи ситуацијата не поднесува одложување.

  • Прво, инсталирајте ја актуелната стабилна верзија на кернелот од вашата дистрибуција, а не само првата „patched” верзија. Според The Hacker News, оригиналната закрпа од април внесе одделен crash bug (CVE-2026-53166), чие финално отстранување е зголемено во главниот дрво тек во почетокот на јули. Кернели постари од таа точка не се потполно чисти.
  • Второ, за системи каде rebooting на кернелот е скап потег (production бази, критични VM-и), проверете дали вашата дистрибуција нуди live patching преку решенија како kpatch, kernelcare или Oracle Ksplice.
  • Трето, ревидирајте ги правата на локални корисници и услуги. Секој service account на кој му е потребно значително помал опсег на права е директна опасност во контекст на „GhostLock”.
  • Четврто, ако управувате Kubernetes кластери, проверете дали контејнерите работат со најнискиот можен runtime user, дали е активиран seccomp профил и дали AppArmor или SELinux правилата се стриктни. Овие мерки не го елиминираат ризикот, но го намалуваат.
  • Петто, следете ги логовите за необични повици кон futex_lock_pi и слични системски повици. Проактивен detection е засега единствената линија на одбрана додека сите вашите машини не бидат ажурирани.

Пропустот стар 15 години кој падна во рацете на ВИ за околу пет секунди не е сензационализам, туку јасен сигнал дека мапата на закани се менува во реално време. Отворениот код повеќе не е „сигурен затоа што сите го гледаат”. Тоа беше илузија. Сега со помош на ВИ се открива всушност колку многу луѓе не го гледале со децении.


Оваа содржина е генерирана со помош на вештачка интелигенција, но е внимателно проверена, уредена и дополнета од уредничкиот тим на IT.mk, со цел да обезбедиме точни, релевантни и квалитетни информации за читателите.

Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!

basic

членство

42 ден./мес

зачлени се

1337

членство

125 ден./мес

зачлени се
* плаќањето е на годишно ниво

Доколку веќе имаш премиум членство, најави се тука.

Добивај известувања
Извести ме за
guest
0 Коментари
Најнови
Најстари Со највеќе гласови
Inline Feedbacks
View all comments