POC驗證腳本,這是本地權限提升 (LPE)漏洞,修改記憶體內容,達成越權
這個用snort3這種網路型的IDS沒用,要用HIDS或EDR才偵測的到
https://github.com/theori-io/copy-fail-CVE-2026-31431
修補方式
更新核心
這是linux的漏洞
Ubuntu / Debian版本
sudo apt update
sudo apt upgrade linux-image-generic
sudo reboot
RHEL / CentOS / AlmaLinux版本
sudo dnf update kernel
sudo reboot
----------------------------------------------------------------------------------------------------------------
臨時緩解措施(無法立即重啟時)
停用 AF_ALG 介面:此漏洞透過 AF_ALG 觸發,可以暫時停用相關模組
移除模組
sudo modprobe -r algif_aead
sudo modprobe -r af_alg
停用(防止重開機後再啟動)
echo "blacklist algif_aead" | sudo tee /etc/modprobe.d/vulnerability-fix.conf
echo "blacklist af_alg" | sudo tee -a /etc/modprobe.d/vulnerability-fix.conf
這個方式有個風險,利用核心加密的應用程式會有影響,例如TLS
在停用前,可以執行指令看是否有程式正在連動
lsmod | grep alg
----------------------------------------------------------------------------------------------------------------
清除已污染的快取
如果你覺得系統已被攻擊,可以強制丟棄快取,重新讀取正確的二進位檔案
sudo sync
echo 3 | sudo tee /proc/sys/vm/drop_caches
---------------------------------------------------------------------------------------------------------------
觀察有哪些異常
頻繁或異常的 AF_ALG 與 splice() 的組合
非root使用者執行的程序突然產生具有 uid=0 的子程序
--------------------------------------------------------------------------------------------------------------
反正不管怎麼拖,都是要更新核心
沒有留言:
張貼留言