Неправильно настроенный NFS приводит к повышению привилегий в Linux

Олег Иванов 28 Мая 2018 - 12:03

...

Неправильно настроенный NFS приводит к повышению привилегий в Linux

Специалисты в области безопасности опубликовали способ эксплуатации неправильно сконфигурированного NFS для повышения привилегий в системе Linux. NFS (Network File System) — протокол сетевого доступа к файловым системам, первоначально разработан Sun Microsystems в 1984 году. За основу взят протокол вызова удалённых процедур (ONC RPC). Позволяет подключать (монтировать) удалённые файловые системы через сеть.

Как известно, NFS использует TCP/UDP-порт 2049 для обмена файлами и директориями. Первым делом эксперты имитируют плохо настроенный NFS.

«В принципе, есть три основных файла конфигурации (/etc/exports, /etc/hosts.allow и /etc/hosts.deny), которые нужны для настройки сервера NFS. Но нас интересует пока только /etc/export», — пишут исследователи.

Файл /etc/exports содержит запись для каждой директории, которую вы планируете расшарить. Каждая запись описывает, как файл или директория будет расшариваться. NFS считается настроенным слабо, если в файле конфигурации присутствует запись вида:

/home       *(rw,no_root_squash)

Она означает, что мы расшарили директорию /home, позволив root-пользователю получить доступ к операциям чтения-записи. Знак * указывает на то, что соединение возможно с любого хоста.

Далее специалисты воспользовались Nmap для сканирования службы NFS в целевой сети. Nmap может показать имя каталога общего доступа, если открыт порт 2049. Для идентификации общего каталога Nmap использует команду showmount –e.

Для эксплуатации NFS-сервера эксперты создали директорию raj внутри /tmp, примонтировали директорию /home и загрузили эксплойт, позволяющий повысить привилегии до root.

«Во-первых, вам нужно скомпрометировать целевую систему, а затем перейти к этапу эскалации привилегий. Предположим, вы успешно вошли в систему жертвы через ssh. Теперь мы знаем, что /home представляет собой общий каталог, так что нужно выполнить следующую команду», — объясняют исследователи.

cd /home
ls
./bash -p
id
whoami

Это один из описываемых специалистами методов, также они предлагают использовать язык C для того же эффекта.

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 12 Марта 2026 - 17:45

Корпорации

Выручка VK Tech по итогам 2025 года выросла на 38% — до 18,8 млрд рублей

VK Tech, корпоративное ИТ-направление МКПАО «ВК», подвела финансовые и операционные итоги 2025 года. Выручка компании составила 18,8 млрд рублей, что на 38% больше, чем годом ранее. Быстрее всего в портфеле VK Tech росли сервисы продуктивности VK WorkSpace и бизнес-приложения.

Их выручка увеличилась на 75,1% и 65,7% соответственно. В самой компании это связывают как с ростом клиентской базы, так и с расширением использования уже подключённых решений.

Заметно выросла и рекуррентная выручка — она увеличилась более чем вдвое и достигла 12,8 млрд рублей. Это 68% от общего объёма выручки. Такой результат обеспечили как продажи по облачной модели On-Cloud, так и доходы от технической поддержки в сценариях On-Premise.

Скорректированная EBITDA VK Tech по итогам года составила 4,8 млрд рублей, прибавив 21,6% год к году. Рентабельность по этому показателю достигла 26%. Одновременно компания сообщила и о росте клиентской базы: количество клиентов увеличилось в 2,7 раза и достигло 31,9 тыс.

Если смотреть по продуктовым направлениям, то крупнейший вклад по-прежнему дают облачная платформа VK Cloud и сервисы продуктивности VK WorkSpace — вместе на них пришлось около 70% всей выручки за 2025 год.

Направление «Облачная платформа» принесло 6,5 млрд рублей, что на 13,5% больше, чем годом ранее. При этом выручка от облачной модели On-Cloud внутри этого сегмента выросла на 51,3%.

Выручка направления «Сервисы продуктивности» достигла 6,3 млрд рублей. Это один из самых быстрорастущих сегментов в структуре VK Tech: рост год к году составил 75,1%. В компании отмечают, что продажи по модели On-Cloud здесь выросли в 3,6 раза, а средняя ежемесячная аудитория активных пользователей платных облачных аккаунтов — в 2,7 раза.

Сегмент «Дата-сервисы» вырос более умеренно — на 15,5%, до 2,5 млрд рублей. Здесь в компании отдельно выделяют решения Tarantool и VK Data Platform, выручка которых увеличилась на 61,8%.

Направление «Бизнес-приложения» принесло 3,4 млрд рублей, показав рост на 65,7%. Основной вклад здесь обеспечили продажи в формате On-Premise, которые увеличились на 86%. Среди отдельных решений VK Tech выделяет VK HR Tek и VK Tax Compliance, показавшие рост на 38,8% и 97,7% соответственно.

Также компания сообщила о нескольких крупных проектах, реализованных в 2025 году, в том числе с Банком Санкт-Петербург, АВТОВАЗом, ВТБ, Сургутнефтегазом и Lamoda. Кроме того, VK Tech рассказала о соглашениях, связанных с цифровой инфраструктурой Татарстана, решениями для нефтегазовой отрасли и ИИ-технологиями для строительного сектора.

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!