माइक्रोसॉफ्ट और यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) ने हाल ही में लिनक्स कर्नेल में एक नई सुरक्षा भेद्यता के बारे में चेतावनी जारी की है, जिसमें कहा गया है कि यह समस्या उबंटू, रेड हैट, एसयूएसई, डेबियन, फेडोरा, आर्क लिनक्स और अमेज़ॅन (एडब्ल्यूएस) लिनक्स सहित बड़ी संख्या में मुख्यधारा के वितरण को प्रभावित कर सकती है, और इसमें शामिल उपकरणों की संख्या लाखों हो सकती है।

भेद्यता का क्रमांक CVE-2026-31431 है और इसका CVSS स्कोर 7.8 है। इसे CISA द्वारा "ज्ञात शोषित कमजोरियाँ" निर्देशिका में सूचीबद्ध किया गया है, जो इसे दुर्भावनापूर्ण हमलावरों के लिए एक सामान्य आक्रमण वेक्टर मानता है और संघीय एजेंसियों और व्यापक उद्यम वातावरण के लिए एक महत्वपूर्ण जोखिम पैदा करता है।

चित्र.png

सीआईएसए ने सलाह में बताया कि यह एक भेद्यता है जिसमें "लिनक्स कर्नेल विभिन्न सुरक्षा डोमेन के बीच संसाधनों को गलत तरीके से स्थानांतरित करता है"। यदि इसका शोषण किया जाता है, तो यह स्थानीय अनुमतियों को रूट स्तर तक बढ़ा सकता है। विशेषाधिकार की इस प्रकार की स्थानीय वृद्धि इन वितरणों के आधार पर भारी कंटेनरीकृत और बहु-किरायेदार कार्यभार वाले वातावरण में विशेष रूप से खतरनाक है, क्योंकि एक बार जब कोई हमलावर सिस्टम तक प्रारंभिक पहुंच प्राप्त कर लेता है, तो अलगाव को और अधिक तोड़ने और पूरे नोड पर नियंत्रण लेने का अवसर मिलता है।

Red Hat ने इस मुद्दे की अधिक विस्तृत तकनीकी व्याख्या प्रदान करने के लिए पिछले महीने एक सुरक्षा सलाह जारी की थी। घोषणा के अनुसार, लिनक्स कर्नेल में algif_aed एन्क्रिप्शन एल्गोरिदम इंटरफ़ेस में भेद्यता दिखाई देती है। गलत "इन-प्लेस ऑपरेशन" कार्यान्वयन की शुरूआत के कारण, स्रोत डेटा और लक्ष्य डेटा की मेमोरी मैपिंग असंगत है। परिणामस्वरूप, एन्क्रिप्शन ऑपरेशन के दौरान अप्रत्याशित व्यवहार या डेटा अखंडता समस्याएं उत्पन्न हो सकती हैं, जिससे एन्क्रिप्टेड संचार की विश्वसनीयता प्रभावित हो सकती है।

Microsoft सुरक्षा शोधकर्ताओं ने कर्नेल एन्क्रिप्शन सबसिस्टम में तर्क दोष का पता लगाया और बताया कि समस्या 2017 में पेश किए गए AF_ALG फ्रेमवर्क के तहत algif_aed मॉड्यूल के अनुकूलन पर केंद्रित थी। उस समय "इन-प्लेस ऑप्टिमाइज़ेशन" के कारण कर्नेल ने कुछ क्रिप्टोग्राफ़िक संचालन करते समय गंतव्य बफर के रूप में स्रोत मेमोरी को गलत तरीके से पुन: उपयोग किया। एक हमलावर कर्नेल पेज कैश में नियंत्रित 4-बाइट लेखन प्राप्त करने के लिए AF_ALG सॉकेट इंटरफ़ेस और स्प्लिस() सिस्टम कॉल के बीच इंटरैक्शन का फायदा उठा सकता है, जिससे महत्वपूर्ण डेटा संरचनाओं के साथ सटीक छेड़छाड़ हो सकती है।

शोधकर्ताओं ने कहा कि इस हमले की प्रक्रिया को पायथन स्क्रिप्ट के माध्यम से कार्यान्वित किया जा सकता है और उच्च-विशेषाधिकार वाली बाइनरी फ़ाइलों जैसे /usr/bin/su के लिए संशोधित किया जा सकता है ताकि निष्पादित होने पर यह सीधे रूट विशेषाधिकारों के साथ चल सके। दौड़ की स्थितियों पर निर्भर कई कर्नेल कारनामों के विपरीत, इस भेद्यता का शोषण समय की दौड़ पर निर्भर नहीं करता है, बल्कि लगभग 732 बाइट्स की एक छोटी स्क्रिप्ट के माध्यम से नियतात्मक तरीके से पुन: पेश किया जा सकता है। इस भेद्यता को विशेषाधिकार वृद्धि का "अत्यधिक विश्वसनीय" साधन माना जाता है क्योंकि इसे थोड़े से संशोधन के साथ विभिन्न प्रमुख वितरणों पर सफलतापूर्वक उपयोग किया जा सकता है।

क्लाउड कंप्यूटिंग वातावरण में, इस सुविधा द्वारा लाए गए जोखिम और भी बढ़ जाते हैं। कई कंटेनर एक ही होस्ट कर्नेल साझा करते हैं। एक बार जब यह भेद्यता अंतर्निहित कर्नेल संस्करण में मौजूद हो जाती है, तो एक कंटेनर का उल्लंघन पूरे नोड में फैल सकता है, जिसे पूरी तरह से अपने कब्जे में ले लिया जाता है। माइक्रोसॉफ्ट ने चेतावनी दी है कि भले ही किसी हमलावर के पास शुरू में केवल सीमित पहुंच हो, जैसे एसएसएच के माध्यम से कम-विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में लॉग इन करना या सीआई/सीडी पाइपलाइन में निष्पादन के अवसर प्राप्त करना, यह भेद्यता रूट विशेषाधिकारों तक बढ़ने, कंटेनर सीमाओं का उल्लंघन करने, पार्श्व आंदोलन को सक्षम करने और बहु-किरायेदार वातावरण में अन्य कार्यभार को संक्रमित करने के लिए पर्याप्त हो सकती है।

वर्तमान में, सार्वजनिक रूप से देखी गई उपयोग गतिविधियाँ मुख्य रूप से प्रूफ-ऑफ-कॉन्सेप्ट (पीओसी) चरण में हैं और इन्हें बड़े पैमाने पर हथियारबंद या प्रसारित नहीं किया गया है। बहरहाल, माइक्रोसॉफ्ट ने सभी प्रकार के संगठनों को संभावित शोषण प्रयासों और समझौता किए गए सिस्टम की पहचान करने में मदद करने के लिए माइक्रोसॉफ्ट डिफेंडर एक्सडीआर के माध्यम से डिटेक्शन हस्ताक्षर जारी किए हैं। Microsoft सुरक्षा टीम से प्रत्येक रिलीज़ के बाद जोखिमों को मौलिक रूप से समाप्त करने के लिए संबंधित पैच प्रदान करने के बाद जितनी जल्दी हो सके कर्नेल अपडेट को पूरा करने का भी आग्रह करता है।

जब तक कोई पैच पूरी तरह से लागू नहीं हो जाता, तब तक Microsoft शमन उपायों की एक श्रृंखला लेने की अनुशंसा करता है, जिसमें प्रभावित संबंधित क्रिप्टोग्राफ़िक सुविधाओं को अस्थायी रूप से अक्षम करना या हमले की सतह के जोखिम को कम करने के लिए AF_ALG सॉकेट के निर्माण को रोकना शामिल है। इसके अलावा, उन खातों के दायरे को सीमित करने के लिए पहुंच नियंत्रण नीतियों को मजबूत किया जाना चाहिए जो सिस्टम पर मनमाना कोड चला सकते हैं, और समझौते के एक बिंदु के बाद आंतरिक वातावरण में पार्श्व प्रसार की संभावना को कम करने के लिए नेटवर्क अलगाव का उपयोग किया जाना चाहिए। संदिग्ध संकेतों वाले नोड्स के लिए, तेजी से पुनर्प्राप्ति और पुनर्निर्माण, लॉग ऑडिटिंग और व्यवहार का पता लगाने के साथ, दीर्घकालिक जोखिमों को कम करने के लिए भी महत्वपूर्ण साधन हैं।