Linux exploit漏洞利用的最新动态

Linux 漏洞利用最新动态与防护要点

一、近期高危漏洞与利用趋势

• 容器运行时风险上升：runC 披露 3 个高危漏洞（CVE-2025-31133、CVE-2025-52565、CVE-2025-52881），可被用于容器逃逸与获取主机 root 权限；其中 CVE-2025-31133/52881 影响所有版本，CVE-2025-52565 影响 1.0.0-rc3 及后续版本；已发布修复版本 runC 1.2.8、1.3.3、1.4.0-rc.3+。官方缓解建议为：为容器启用用户命名空间且不要将主机 root映射到容器命名空间。
• 发行版内核提权在野利用：CVE-2024-1086（netfilter:nf_tables UAF） 已被 CISA KEV 收录并证实用于勒索软件攻击；影响包括 Ubuntu、RHEL、Debian 等，特别是内核版本低于 6.1.77 的系统。攻击者通过构造恶意 netfilter 规则触发释放后重用，实现本地提权至 root，进而部署勒索软件。
• 内核本地提权 PoC 公开：Ubuntu 24.04.2（6.8.0-60-generic） 曝出 af_unix 子系统 UAF，研究者在 TyphoonPWN 2025 披露完整 PoC；根因是 Ubuntu 对上游补丁的选择性回溯导致引用计数不匹配。Canonical 已在 2025-09-18 发布修复（建议升级至 6.8.0-61+）。
• 安全工具自身 RCE 风险：ImunifyAV/Imunify360 的 AI-bolit 组件存在未明 CVE 的 远程代码执行 漏洞，影响 32.7.4.0 之前版本；攻击面为扫描时对混淆 PHP 的反混淆逻辑，在共享主机环境中可能以高权限触发，存在站点被入侵乃至服务器被接管的严重风险；建议立即升级至 32.7.4.0+。
• 供应链与社工威胁：GitHub 上出现伪装成 CVE-2023-35829 的虚假 PoC，内含“kworker”后门，会窃取敏感数据并写入 ~/.ssh/authorized_keys 建立持久化；建议仅隔离环境测试 PoC，核查并清理可疑文件与 bashrc 持久化条目。

二、威胁态势数据

• 2025 年上半年，操作系统关键漏洞相关的漏洞利用占比达 64%（高于 2025Q1 的 48%），第三方应用 29%、浏览器 7%。
• 与 2024 年相比，2025 年遭遇漏洞利用攻击的 Linux 用户数量显著上升：2025Q2 比 2024Q2 高出 50 多个百分点，2025Q1 接近 2024Q1 的 两倍。
• CVE 数量激增：从 2024 年初约 2600/月 增至 2025 年 > 4000/月，漏洞利用攻击面随之扩大。

三、防护与缓解建议

• 容器与编排
  • 立即升级 runC ≥ 1.2.8 / 1.3.3 / 1.4.0-rc.3；为所有容器启用用户命名空间，避免将主机 root映射进容器；审计镜像与 Dockerfile 中的自定义挂载与符号链接滥用迹象。
• 主机与内核
  • 优先修补 CVE-2024-1086 等本地提权漏洞，确保内核版本 ≥ 6.1.77（或按发行版安全公告更新）；对关键系统采用实时补丁（如 Kpatch、SUSE Live Patch、Ubuntu Livepatch）以缩短暴露窗口并减少重启冲击。
• 安全与运维工具
  • 将 ImunifyAV/Imunify360 升级至 32.7.4.0+；在共享主机环境中，限制或隔离安全工具的高权限扫描能力，避免成为单点 RCE 跳板。
• 供应链与开发安全
  • 仅从可信源获取 PoC/补丁，所有 PoC 在隔离环境验证；核查构建链与 CI/CD 的插件/依赖完整性，防范工具链投毒与恶意更新。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！