
Мониторинг модулей ядра и защита от Dirty-уязвимостей с помощью Wazuh
efer1992 только что Мониторинг модулей ядра и защита от Dirty-уязвимостей с помощью Wazuh 17 мин 11 Блог компании Selectel Информационная безопасность * Системное администрирование * Linux * Серверное администрирование...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
В сфере искусственного интеллекта произошло заметное событие. efer1992 только что Мониторинг модулей ядра и защита от Dirty-уязвимостей с помощью Wazuh 17 мин 11 Блог компании Selectel Информационная безопасность * Системное администрирование * Linux * Серверное администрирование * В 2026 году серия уязвимостей класса page-cache write вновь поставила под удар практически все актуальные дистрибутивы Linux. Их особенность в том, что злоумышленник может изменить содержимое файла в page cache, не затрагивая данные на диске. Из-за этого классические средства контроля целостности файлов не способны обнаружить такую компрометацию.
В этой статье рассмотрим две наиболее показательные уязвимости этого класса — Dirty Frag и Copy Fail, а затем настроим Wazuh так, чтобы он помогал выявлять признаки их эксплуатации и связанные с ними аномалии. Используйте оглавление, если не хотите читать статью полностью:Классические уязвимостиЧто Wazuh может и что не можетШаг 1. Инвентаризация загруженных модулей ядраШаг 2.
Технические детали
Мониторинг версии ядра и статуса обновленийШаг 3. Аудит системных вызовов (auditd + Wazuh)Шаг 4. Правила алертингаШаг 5.
Контроль целостности /proc/modules через FIMШаг 6. SCA: автоматическая проверка харденинга ядраАрхитектура обнаружения: сводная схемаМитигации на уровне ядраПоиск событий в Wazuh DashboardsСводка по компонентам и итогиКлассические уязвимостиDirty Frag. Май 2026Исследователь Hyunwoo Kim описал две независимые уязвимости в сетевом стеке ядра Linux, объединенные в общую цепочку эксплуатации.
Первая затрагивает обработчик ESP (Encapsulating Security Payload) в xfrm, вторая — протокол RxRPC. Цепочка эксплуатации использует механизм splice (file → pipe → socket) и флаг MSG_SPLICE_PAGES, позволяя атакующему подсадить в frag структуры sk_buff прямую ссылку на страницу page cache. В результате криптографический код выполняет запись непосредственно в память файла, несмотря на последующую ошибку проверки целостности.
Отраслевые последствия
Уязвимость существует с коммита cac2661c53f3 (январь 2017) — то есть, уже более девяти лет. Работает на ядрах от 6. 0 и подтверждена на Ubuntu 24.
1, AlmaLinux 10, Fedora 44, openSUSE Tumbleweed. Для обеих уязвимостей назначены CVE: CVE-2026-43500 и CVE-2026-43284. Copy Fail, CVE-2026-31431.
Апрель 2026Исследователи Xint Code Research Team обнаружили аналогичную проблему в интерфейсе AF_ALG — криптографическом сокете ядра. Через splice() страницы page cache попадают в криптографический буфер, после чего операция дешифрования изменяет данные непосредственно в памяти. Для эксплуатации достаточно короткого Python-скрипта весом в 732 байта, использующего только стандартную библиотеку.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.




