Пока не взломали

По данным исследователей, дыру уже дёргали вживую, возможно ещё с февраля. Shared-хостинг снова напоминает коммуналку: один плохой замок — и внезапно открывается не одна дверь, а весь этаж. Технически баг сидит в логике сессий. До нормальной авторизации cpsrvd создавал pre-auth session file, а дальше через криво обработанные cookie и заголовки можно было подсунуть в эту сессию лишние свойства. В плохом сценарии — что-нибудь уровня user=root. Потом сессия перечитывается, кэшируется, и вот у нас уже не «неудачная попытка входа», а административный доступ без пароля. Красиво? Да. Противно? Тоже да...

Это не тот случай, когда сервер можно забрать прямо из интернета одним красивым запросом. Тут атакующему сначала нужен обычный пользователь на машине или код внутри контейнера. Но дальше история становится заметно веселее: из непривилегированного состояния можно попытаться доползти до root. И самое мерзкое — баг выглядит почти скромно. Речь про контролируемую запись всего 4 байт в page cache читаемого файла. Четыре байта, да. В обычной жизни это звучит как мелочь, а в ядре Linux — как «мы чуть-чуть подпилили несущую балку, ничего страшного». Технически всё крутится вокруг AF_ALG. Это такой интерфейс, через который userspace может ходить к криптографическому API ядра через сокеты...

Хотя если без самообмана, fail2ban — это защита от мусора, а не от атаки. Брутфорс, кривые попытки логина, какая-то веб-помойка — да. DDoS — нет. Проблема очень простая. Fail2ban сначала должен дождаться, пока запрос долетит до nginx, попадет в лог, распарсится, и только потом IP уйдет в бан. То есть вся эта схема работает только тогда, когда сервер еще в состоянии спокойно жить и писать логи. А при нормальном флуде ничего он уже не успевает. Если у вас канал 100 мегабит, а туда прилетает 200 мегабит UDP, то на этом кино заканчивается. Канал забит, пакеты не доходят до приложения, логов нет, fail2ban ничего не видит...

Иногда смотришь на уязвимости и думаешь — ну ладно, бывает, сложная логика, хитрый баг. А иногда читаешь CVE и просто улыбаешься. Потому что это не «хакерская магия», а обычная человеческая расслабленность. В Nginx UI нашли CVE-2026-27944. Там есть эндпоинт /api/backup, который отдает бэкап конфигурации. И всё бы ничего, но авторизацию на него почему-то решили не вешать. Но самое красивое даже не это. В ответе вместе с архивом прилетает ключ для расшифровки этого самого бэкапа. Прямо в заголовке. То есть система буквально говорит: держи конфиг, держи ключ, пользуйся на здоровье. Мы с вами понимаем, что обычно лежит в таких бэкапах...

Семейный онлайн-бизнес, небольшой сайт, внезапно начинает захлёбываться. Заходит в логи — 400 000 уникальных IP за несколько часов колотят по главной странице. Для контекста: у них обычно 2-3 тысячи посетителей в день. Первая реакция — «Может это вирусный контент? Может нас кто-то упомянул?» Проверяет реферреры — тишина. Проверяет user agents — каша из Firefox, Chrome, Safari, всё как у людей. Вот только люди так не ходят: по 50 запросов в секунду с одного IP к одной и той же странице. Админ начинает банить через fail2ban. Через час понимает, что это как вычерпывать океан ложкой — IP меняются быстрее, чем он успевает добавлять правила...