PinTheft: как ошибка в RDS позволяет получить root‑доступ в Linux

Где именно находится уязвимость

Проблема находится в подсистеме RDS (Reliable Datagram Sockets) — сетевом протоколе Linux, который используется в высокопроизводительных средах, например в кластерах InfiniBand и некоторых распределённых системах.

Конкретно ошибка возникает в zerocopy send path — пути передачи данных без копирования буфера. Этот механизм предназначен для ускорения сетевых операций, позволяя ядру отправлять данные прямо из пользовательской памяти.

В функции:

rds_message_zcopy_from_user()

ядро «прикрепляет» (pin) страницы пользовательской памяти по одной для отправки. Если на более позднем этапе возникает page fault, обработчик ошибок пытается освободить ранее закреплённые страницы.

Но из‑за ошибки часть страниц освобождается повторно, что приводит к double‑free или повреждению счётчика ссылок. В результате ядро может продолжать работать с уже освобождённой памятью.

Это и создаёт основу для дальнейшей эксплуатации.

Как работает эксплойт PinTheft

Исследователи показали, что эту ошибку можно объединить с современными механизмами ядра Linux, чтобы получить контроль над содержимым памяти.

1. Запуск уязвимого RDS‑пути

Атакующий, имеющий локальный доступ, инициирует выполнение уязвимого RDS zerocopy send path. Когда происходит ошибка страницы, код очистки некорректно освобождает ранее закреплённые страницы памяти, создавая неконсистентное состояние.

2. Захват освобождённых страниц через io_uring

Далее используется io_uring fixed buffers — механизм регистрации буферов памяти для высокопроизводительных асинхронных операций ввода‑вывода.

С помощью этих буферов атакующий может повторно занять освобождённые физические страницы памяти, получив над ними контролируемое влияние.

3. Перезапись page cache

Поскольку затронутые страницы могут относиться к page cache — кэшу ядра для файловых данных — атакующий может превратить повреждение памяти в механизм перезаписи page cache.

Это означает, что:

• содержимое файла на диске остаётся неизменным
• но ядро начинает отдавать изменённые данные из памяти

Таким образом, файл фактически «подменяется» только в кэше.

4. Подмена SUID‑root программы

Финальный этап атаки направлен на SUID‑root бинарный файл — программу, которая запускается с привилегиями root независимо от пользователя.

Если атакующий изменяет её содержимое в page cache, то при запуске система фактически выполняет модифицированный код, но всё ещё с правами root.

Это даёт злоумышленнику полный root‑доступ к системе.

Какие системы наиболее уязвимы

Фактический риск зависит не только от версии ядра, но и от конфигурации системы.

Arch Linux

Некоторые отчёты указывают, что Arch Linux оказался одним из основных объектов тестирования:

• опубликованный PoC был продемонстрирован именно на Arch Linux
• модуль RDS может присутствовать в конфигурации ядра

Поэтому системы Arch Linux стали первыми подтверждёнными целями эксплуатации.

Системы с включённым модулем RDS

Теоретически уязвимость может затронуть любую Linux‑дистрибуцию, если:

• используется уязвимая версия ядра
• модуль RDS доступен или загружен

Однако во многих корпоративных дистрибутивах этот модуль не активирован по умолчанию.

Стандартные корпоративные конфигурации

Сообщается, что стандартные установки Ubuntu, Debian, RHEL и AlmaLinux часто менее подвержены риску, поскольку модуль RDS обычно не используется по умолчанию. Тем не менее администраторам рекомендуется проверять конкретную конфигурацию системы.

CloudLinux

Компания CloudLinux заявила, что протестировала публичный PoC на своих платформах и не обнаружила уязвимости в своих сборках.

Условия успешной эксплуатации

Для реализации атаки обычно требуется несколько факторов одновременно:

• наличие локального доступа и возможность запускать код без привилегий
• использование уязвимого ядра Linux с ошибкой RDS zerocopy
• доступность или загрузка модуля RDS
• возможность использовать io_uring fixed buffers непривилегированными пользователями
• наличие SUID‑root исполняемого файла, который можно подменить через page cache

Если хотя бы одно из этих условий отсутствует, эксплуатация становится значительно сложнее или невозможной.

Как защитить системы

Администраторы могут существенно снизить риск несколькими шагами.

Установить обновления ядра

Разработчики ядра уже выпустили патч, исправляющий уязвимый код RDS. Самая важная мера — установить обновлённую версию ядра из репозитория вашего дистрибутива.

После обновления необходимо перезагрузить систему, иначе будет продолжать работать старое ядро.

Отключить модуль RDS

Если инфраструктура не использует RDS, стоит:

• добавить модуль rds в blacklist
• удалить его из автозагрузки

Это уменьшит поверхность атаки.

Ограничить доступ к io_uring

Так как эксплойт использует io_uring fixed buffers, ограничение или отключение доступа к io_uring для непривилегированных пользователей может снизить риск.

Проверить SUID‑бинарники

Поскольку конечная цель атаки — SUID‑root программы, рекомендуется:

• провести аудит SUID‑файлов
• удалить SUID‑бит там, где он не требуется

Это уменьшит количество потенциальных целей для повышения привилегий.

Ограничить локальный доступ

PinTheft — это локальная уязвимость, поэтому системы с множеством пользователей особенно уязвимы. К таким системам относятся:

• CI/CD‑серверы
• shared‑hosting платформы
• серверы разработки

Именно их стоит обновить в первую очередь.

Что показывает эта уязвимость

PinTheft демонстрирует характерную тенденцию современных атак на ядро Linux: злоумышленники объединяют несколько сложных подсистем — в данном случае RDS и io_uring — чтобы превратить относительно небольшую ошибку управления памятью в полноценный механизм повышения привилегий.

Даже редко используемые модули ядра могут стать серьёзной точкой атаки. Поэтому регулярные обновления ядра и минимизация загруженных модулей остаются одной из самых эффективных мер защиты.