ubuntu exploit历史案例回顾
Ubuntu 历史上多起典型本地提权与权限绕过案例,覆盖内核、系统服务、桌面组件与打印/无线栈。以下按时间线梳理关键事件、原理与影响,并给出可操作的防护要点。
典型案例一览
| 时间 | 漏洞/利用 | 影响版本 | 攻击面与原理 | 影响与等级 |
|---|---|---|---|---|
| 2018-04 | Linux 内核 eBPF 验证器缺陷(CVE-2018-8897) | 内核 3.18–4.4(含 LTS),且启用 CONFIG_BPF_SYSCALL 与 unprivileged_bpf_disabled=0 | 非特权 BPF 字节码验证不严,导致越界读写与任意代码执行 | 本地提权(LPE),高 |
| 2019-01/02 | Snapd API 访问控制缺陷(CVE-2019-7304,Dirty Sock) | Ubuntu 14.04/16.04/18.04/18.10 | 本地 UNIX 套接字对端 UID 校验可被覆盖,调用受限 API(如 create-user)创建本地用户并配合 sudo 提权 | 本地提权,高 |
| 2020-10 | accounts-daemon + gdm3 逻辑缺陷(语言切换链) | Ubuntu 桌面版(GNOME) | 通过 .pam_environment 触发 accounts-daemon 无限循环/崩溃,gdm3 误判为新装系统启动 gnome-initial-setup,新建管理员 | 本地提权,高 |
| 2021-08 | 内核 eBPF 权限提升(CVE-2021-3490) | Ubuntu 20.10、21.04 | eBPF 验证器在特定条件下可被绕过,本地提权 | 本地提权,高 |
| 2023 | Pwn2Own Vancouver:nftables 内核 LPE(CVE-2023-35001) | 桌面版 Ubuntu(默认启用 unprivileged_userns_clone) | 通过用户命名空间进入 nftables 子系统,利用解析/对齐/信息泄露构造任意写 | 本地提权,高 |
| 2024–2025 | CUPS + wpa_supplicant 利用链(CVE-2024-35235 + CVE-2024-5290) | Ubuntu 24.04 LTS | 先以 CVE-2024-35235 放宽 /etc/cups/cups-files.conf 权限并注入 Group netdev,再以 CVE-2024-5290 让 wpa_supplicant 以 root 加载恶意 .so | 本地提权,高 |
| 2025-04 | 三组安全绕过漏洞(非特权命名空间限制) | Ubuntu 23.10(需手动启用防护)、24.04 LTS(默认启用) | 突破非特权用户命名空间限制,进一步利用内核漏洞 | 本地提权/绕过,中-高 |
关键案例要点
-
内核 eBPF 缺陷(2018,CVE-2018-8897)
漏洞根因是 eBPF 验证器对 32 位 ALU 立即数处理不当,导致运行时语义与验证不一致。大量发行版默认启用 CONFIG_BPF_SYSCALL 且允许非特权 BPF,攻击面显著;Ubuntu 当时满足触发条件。缓解可在内核修复前临时设置 /proc/sys/kernel/unprivileged_bpf_disabled=1 阻断非特权 BPF。 -
Snapd API 访问控制缺陷(2019,CVE-2019-7304,Dirty Sock)
snapd 的本地 REST API 通过套接字对端 UID 做访问控制,字符串解析缺陷可覆盖 UID 变量,进而调用如 create-user 的受限方法,在本地创建具有 sudo 权限的用户。影响 14.04–18.10 等多个版本,官方已发布补丁。 -
accounts-daemon + gdm3 逻辑缺陷(2020)
研究人员 Kevin Backhouse 发现:通过 .pam_environment 链接到 /dev/zero 可令 accounts-daemon 陷入无限循环并被 SIGSEGV 终止;gdm3 在查询用户数为 0 时误判为新装系统,启动 gnome-initial-setup,而该向导默认以管理员权限运行。主要影响 Ubuntu 桌面版(GNOME)。 -
内核 eBPF 权限提升(2021,CVE-2021-3490)
在特定内核版本上,本地攻击者可通过 eBPF 验证器绕过实现提权。官方通告明确影响 Ubuntu 20.10 与 21.04,建议尽快升级内核并限制非特权 BPF。 -
Pwn2Own Vancouver 2023:nftables 内核 LPE(CVE-2023-35001)
利用 Ubuntu 默认开启的 用户命名空间 暴露的 nftables 攻击面,结合解析/对齐与 kASLR 泄露构造任意写原语,实现内核代码执行。该案例展示了在默认配置下,复杂内核子系统的攻击面与可利用性。 -
CUPS + wpa_supplicant 利用链(2024–2025,CVE-2024-35235 + CVE-2024-5290)
通过 D‑Bus 调用 org.opensuse.CupsPkHelper.Mechanism 设置 Listen 指向符号链接,绕过 AppArmor 限制后放宽 /etc/cups/cups-files.conf 权限并注入 Group netdev;随后利用 wpa_supplicant 的 D‑Bus 接口加载恶意 .so,以 root 身份执行代码。官方已在 2024 年提供修复版本。 -
三组安全绕过漏洞(2025)
安全研究者披露 Ubuntu 23.10/24.04 LTS 上存在三组关键安全绕过,允许本地攻击者突破 非特权用户命名空间 限制,从而进一步利用内核漏洞。建议保持系统更新并关注官方安全通告。
防护与加固要点
-
及时更新与最小化暴露面
使用 sudo apt update & & sudo apt full-upgrade 保持系统与内核、snapd、CUPS、wpa_supplicant 等组件为最新;移除不必要的软件与服务,减少攻击面。 -
限制非特权 BPF 与命名空间
在不影响业务的前提下,设置 /proc/sys/kernel/unprivileged_bpf_disabled=1 临时禁用非特权 BPF;评估是否必须开启 kernel.unprivileged_userns_clone,对容器/虚拟化场景采用最小权限配置。 -
加固 D‑Bus 与特权服务
仅授予必要用户/组对 CUPS/wpa_supplicant 等系统服务的访问权限;审核 D‑Bus 策略与接口调用链,避免通过辅助机制(如 PPD、辅助程序)间接执行代码。 -
强化本地账户与会话安全
禁止 root 远程登录,使用 SSH 密钥 认证;为桌面环境设置登录审计与会话监控;发现异常登录或新增管理员账户及时处置。 -
纵深防御与检测
启用 AppArmor/SELinux 并维护最新策略;部署 IDS/IPS 与集中日志审计,关注与 cupsd、wpa_supplicant、snapd、nftables 相关的异常行为。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: ubuntu exploit历史案例回顾
本文地址: https://pptw.com/jishu/752681.html