Эксперт Спицын: уязвимость библиотеки glibc — редкая и крайне опасная

16 мая 2025 года была обнаружена критическая уязвимость (CVE-2025-4802) в библиотеке glibc, затрагивающая версии с 2.27 по 2.38. Она позволяет локальным злоумышленникам выполнять произвольный код с повышенными привилегиями. Киберэксперт лаборатории стратегического развития продуктов кибербезопасности компании «Газинформсервис» Михаил Спицын объяснил механизм атаки и дал рекомендации по защите.

«Злоумышленник может заставить статически скомпонованный set-uid-бинарник, использующий вызов dlopen() (непосредственно либо через функции вроде setlocale() или getaddrinfo()), загрузить подменённую библиотеку из каталога, указанного в переменной LD_LIBRARY_PATH», — поясняет Спицын.

Хотя исправление (glibc 2.39) выпущено ещё в январе 2023 года, многие дистрибутивы Linux (Rocky Linux, Debian, Ubuntu) до сих пор содержат уязвимые версии. Разработчики glibc утверждают, что эксплойтов, использующих эту уязвимость в стандартных пакетах, пока не обнаружено. Однако кастомные set-uid-утилиты, распространённые в корпоративной среде, подвержены риску.

«Прежде всего необходимо немедленно установить обновление glibc 2.39 или соответствующий бэкпорт от поставщика дистрибутива и убедиться, что на всех узлах репозитории безопасности подключены, а также усилить контроль доступа. Несмотря на то, что по шкале CVSS оценка 9,8, в реальности риск зависит от того, сколько статических set-uid-бинарников присутствует в конкретной инфраструктуре. Тем не менее рекомендую в корпоративной сети развернуть класс решений UEBA, чтобы оперативно отслеживать попытки эксплуатации локальных привилегий. Платформа расширенной аналитики Ankey ASAP позволяет фиксировать отклонения в лице вредоносной активности относительно созданной нормали благодаря модулям поведенческой аналитики», — добавляет киберэксперт.