В Банк данных угроз безопасности информации (BDU) была внесена запись о новой критической уязвимости, затрагивающей ядро операционной системы Linux. Речь идет об ошибке в обработке ICMPv6-пакетов, которая позволяет злоумышленнику, действующему удаленно, полностью скомпрометировать атакуемую систему. Уязвимость получила идентификатор BDU:2026-08754 (CVE-2026-430380) и уже подтверждена производителями основных дистрибутивов - Red Hat Inc. и сообществом Debian.
Детали уязвимости
Причина проблемы кроется в функции "ip6_err_gen_icmpv6_unreach()" модуля "net/ipv6/icmp.c". Как поясняют специалисты, здесь допущена ошибка класса CWE-843, то есть "доступ к ресурсу через несовместимые типы". Простыми словами, ядро неправильно интерпретирует структуры данных при генерации служебных сообщений об ошибках для протокола IPv6. Это приводит к тому, что в память ядра может быть записана вредоносная информация, управляемая атакующим. Манипулируя такими структурами, нарушитель способен выполнить произвольный код с привилегиями ядра или вызвать отказ в обслуживании.
Базовая оценка риска по системе CVSS 3.1 составляет 9,8 балла из 10 возможных, что классифицируется как критический уровень опасности. Вектор атаки - сетевой, причем для эксплуатации не требуется ни аутентификации, ни взаимодействия с пользователем. Это означает, что достаточно отправить специально сформированный сетевой пакет на уязвимый узел, чтобы получить контроль над ним. В условиях, когда множество серверов, маршрутизаторов и облачных инфраструктур работают под управлением Linux, такая уязвимость представляет серьезную угрозу.
Под удар попали все поддерживаемые версии ядра Linux, начиная с 3.13 и заканчивая свежими релизами 6.19. В частности, в BDU перечислены десятки версий: от 5.10 до 5.10.253, от 6.1 до 6.1.168, от 6.6 до 6.6.134, от 6.12 до 6.12.81 и другие. Кроме того, уязвимость затронула корпоративные дистрибутивы Red Hat Enterprise Linux версий 8, 8.4, 8.6, 8.8, 9, 9.2, 9.4, 10 и их специальные сборки (например, Advanced Mission Critical Update Support, Telecommunications Update Service, Update Services for SAP Solutions). Аналогичная ситуация с Debian GNU/Linux: не защищены версии 11, 12 и 13. Фактически, речь идет о сотнях тысяч серверов по всему миру.
К счастью, специалисты по безопасности уже разработали исправления. Для ядра Linux опубликовано восемь патчей в официальном репозитории на kernel.org. Red Hat и Debian также выпустили обновления для своих продуктов. Ссылки на соответствующие бюллетени доступны на порталах поддержки производителей. Например, для Debian необходимо отслеживать страницу security-tracker.debian.org, а для Red Hat - access.redhat.com.
В рекомендациях ФСТЭК России, в свою очередь, упоминается, что в отсутствие обновлений следует руководствоваться методическим документом "Рекомендации по безопасной настройке операционных систем LINUX", утвержденным 25 декабря 2022 года. Однако, поскольку производители уже предоставили патчи, наиболее разумным решением является немедленное обновление ядра до версии, где ошибка устранена. Промедление может стоить дорого: злоумышленники, как правило, активно сканируют сеть на предмет новых уязвимостей сразу после публикации информации о них.
Каковы же возможные последствия эксплуатации данной уязвимости? Поскольку атака не требует никаких дополнительных условий, успешная эксплуатация позволяет нарушителю получить полный контроль над системой. Это может привести к краже конфиденциальных данных, установке программ-вымогателей (ransomware), использованию ресурсов сервера для DDoS-атак или закреплению в инфраструктуре (persistence) для долгосрочной шпионской деятельности. Особенно опасна ситуация для облачных сред и виртуализированных инфраструктур, где одна скомпрометированная виртуальная машина может стать трамплином для атаки на гипервизор или соседние окружения.
В связи с этим администраторам систем настоятельно рекомендуется как можно скорее оценить, какие узлы подвержены риску. Проверить версию ядра можно командой "uname -r". Если она попадает в указанные диапазоны, необходимо установить обновление из официального репозитория дистрибутива. Для тех, кто использует собственные сборки ядра, следует применить соответствующие коммиты, перечисленные в описании уязвимости. Кроме того, стоит временно рассмотреть возможность блокировки трафика IPv6 на межсетевых экранах (firewall), если протокол IPv6 не используется в сети. Это не устранит проблему полностью, но снизит поверхность атаки.
На данный момент данных о готовых эксплойтах в открытом доступе нет - в BDU статус указан как "данные уточняются". Однако, учитывая критичность оценки и простоту вектора, появление публичного кода эксплуатации - лишь вопрос времени. История знает множество случаев, когда подобные уязвимости начинали массово эксплуатироваться в течение нескольких дней после публикации. Поэтому не стоит откладывать обновление в долгий ящик.
Таким образом, CVE-2026-43038 - это яркий пример того, как одна ошибка в коде обработки сетевых пакетов может поставить под удар огромное число систем. Поскольку ядро Linux лежит в основе большинства серверных решений, последствия этой уязвимости могут быть масштабными.
Ссылки
- https://bdu.fstec.ru/vul/2026-08754
- https://www.cve.org/CVERecord?id=CVE-2026-43038
- https://git.kernel.org/stable/c/0452b6526b2f54b2413b9cb4ff1ea2ac542c99c7
- https://git.kernel.org/stable/c/1ceeebd5bd6d855b17a5df625109bfe29129d7cf
- https://git.kernel.org/stable/c/3d5127d998de617b130aae96b138dba22ac6a8a7
- https://git.kernel.org/stable/c/86ab3e55673a7a49a841838776f1ab18d23a67b5
- https://git.kernel.org/stable/c/a2edbb6393972a02114b6003953a5cef3104fada
- https://git.kernel.org/stable/c/a4437faf135da293d16fcc4cc607316742bd0ebb
- https://git.kernel.org/stable/c/c438ba010171b70bad22fc18b1d5bdc3627476e8
- https://git.kernel.org/stable/c/e41953e7d118e2702bcb217879c173d9d1d3cd4e
- https://lore.kernel.org/linux-cve-announce/2026050103-CVE-2026-43038-b591@gregkh/
- https://security-tracker.debian.org/tracker/CVE-2026-43038
- https://access.redhat.com/security/cve/cve-2026-43038