Ερευνητές της ιταλικής εταιρείας κυβερνοασφάλειας D3Lab εντόπισαν νέες παραλλαγές του κακόβουλου λογισμικού NFCShare για Android, οι οποίες διανέμονται μέσω αποθετηρίου του GitHub με τη μορφή ψεύτικων ενημερώσεων για γνήσιες τραπεζικές εφαρμογές. Το κακόβουλο λογισμικό έχει εξελιχθεί και πλέον στοχεύει πελάτες πολλών τραπεζών και χρηματοπιστωτικών ιδρυμάτων σε ολόκληρη την Ευρώπη, στο πλαίσιο εκστρατείας ηλεκτρονικής απάτης (phishing) που αποσκοπεί στην κλοπή δεδομένων καρτών πληρωμών.

Πώς ξεκινά η επίθεση: Phishing μέσω GitHub

Οι πρόσφατες επιθέσεις NFCShare, που παρατηρήθηκαν από τις 14 Μαΐου, ξεκινούν όταν το θύμα επισκεφθεί έναν ιστότοπο phishing που υποδύεται πραγματική τράπεζα και ζητά τα διαπιστευτήρια τραπεζικής πρόσβασης. Στη συνέχεια, τα θύματα καλούνται να «ενημερώσουν» την τραπεζική τους εφαρμογή και ανακατευθύνονται σε αποθετήριο GitHub που φιλοξενεί κακόβουλο αρχείο APK. Σε παρόμοιες επιθέσεις, SMS ή τηλεφωνικές κλήσεις από ψεύτικους εκπροσώπους τράπεζας χρησιμοποιούνται επίσης ως μέρος της διαδικασίας κοινωνικής μηχανικής, αν και η D3Lab δεν παρατήρησε άμεσα αυτές τις μεθόδους στη συγκεκριμένη εκστρατεία.

Από τη δημιουργία του αποθετηρίου GitHub στις 10 Απριλίου, έχουν φιλοξενηθεί 56 μοναδικά APK αρχεία που υποδύονται εφαρμογές κινητών για τράπεζες κυρίως της Ιταλίας και της Ισπανίας. Τον Ιανουάριο, η D3Lab είχε αναφέρει ότι το κακόβουλο λογισμικό στόχευε αποκλειστικά τη Deutsche Bank στη Γερμανία, γεγονός που υποδηλώνει επέκταση του εύρους στόχευσης.

Η τεχνική υποκλοπής: NFC, IsoDep και WebSocket

Αφού εξαπατήσει τα θύματα με ψεύτική οθόνη «επαλήθευσης» για να τοποθετήσουν τις κάρτες τους κοντά στο τσιπ NFC (Near-Field Communication) της συσκευής, το NFCShare διαβάζει τις πληροφορίες χρησιμοποιώντας τη διεπαφή IsoDep του Android και εντολές EMV. Το κακόβουλο λογισμικό κλέβει τον αριθμό της κάρτας, τον τύπο, την ημερομηνία λήξης και ένα 4ψήφιο PIN που εισάγει το θύμα με την πρόφαση ενός βήματος ασφαλείας, και τα διαβιβάζει στον διακομιστή εντολών και ελέγχου (C2) του επιτιθέμενου μέσω καναλιού WebSocket.

Τα δεδομένα που συλλέγονται με αυτόν τον τρόπο μπορούν στη συνέχεια να χρησιμοποιηθούν σε σχήματα αναμετάδοσης πληρωμών NFC, όπως τεκμηριώνεται στις επιθέσεις κακόβουλων λογισμικών NGate, SuperCard X και RelayNFC. Στην πράξη, ο επιτιθέμενος αναπαράγει ψηφιακά την κάρτα του θύματος σε άλλη συσκευή και πραγματοποιεί ανέπαφες συναλλαγές ή αναλήψεις από ΑΤΜ χωρίς να έχει ποτέ φυσική πρόσβαση στην κάρτα.

Διαφορετικός κώδικας, ίδιο οικοσύστημα;

Ο ερευνητής της D3Lab, Andrea Draghetti, δήλωσε στο BleepingComputer ότι, παρά τις ομοιότητες με άλλα κακόβουλα λογισμικά Android που εκμεταλλεύονται τα τσιπ NFC για κλοπή δεδομένων, το NFCShare χρησιμοποιεί διαφορετικό κώδικα, βιβλιοθήκες, αρχιτεκτονική και λεπτομέρειες υλοποίησης. Ωστόσο, ο Draghetti σημείωσε ότι θα μπορούσε να αποτελεί εξέλιξη του ίδιου οικοσυστήματος, από τους ίδιους παράγοντες απειλής.

Η εταιρεία ThreatFabric αποδίδει την πλατφόρμα στο NFU Pay, μια κινεζική υπηρεσία κακόβουλου λογισμικού ως υπηρεσία (Malware-as-a-Service), που επιτρέπει στους φορείς εκμετάλλευσης να δημιουργούν προσαρμοσμένες, στοχευμένες ανά περιοχή εκδόσεις με δικά τους δελεάσματα τραπεζικής εμφάνισης. Και οι δύο γνωστές εκδόσεις — NFCShare για Ευρώπη και PhantomCard για Βραζιλία — μοιράζονται την ίδια βάση κώδικα για NFC αναμετάδοση, την ίδια διεπαφή χρήστη (μεταφρασμένη στην τοπική γλώσσα) και παρόμοια απόκρυψη συμβολοσειρών.

Νέα τεχνική αποφυγής ανίχνευσης: Παραμορφωμένα APK

Ένα αξιοσημείωτο στοιχείο της νέας έκδοσης του κακόβουλου λογισμικού είναι η εισαγωγή παραμορφωμένης συσκευασίας APK για να παρεμποδίσει την αυτοματοποιημένη ανάλυση και, ενδεχομένως, και τα εργαλεία ασφαλείας. Το αρχείο APK παραμένει αρχείο ZIP, αλλά τα νεότερα δείγματα περιλαμβάνουν κατεστραμμένες/παραμορφωμένες διαδρομές αρχείων εντός του ZIP, με αποτέλεσμα ορισμένα εργαλεία αποσυμπίεσης να ερμηνεύουν εσφαλμένα τις εσωτερικές σχετικές διαδρομές ως διαδρομές συστήματος αρχείων και να δημιουργούν σφάλματα. Η D3Lab σημειώνει, ωστόσο, ότι αυτή η τεχνική δεν αποτρέπει τη χειροκίνητη ανάλυση ή την ανάκτηση κώδικα· αντίθετα, διαταράσσει τη στατική ανάλυση σε συγκεκριμένα εργαλεία.

Πώς να προστατευτείτε

Η χρήση του GitHub ως πλατφόρμας διανομής κακόβουλου λογισμικού δεν είναι νέο φαινόμενο· υπάρχουν ενδείξεις ότι κακόβουλο λογισμικό διανέμεται σε μεγάλη κλίμακα όχι μόνο μέσω ιστοτόπων phishing, αλλά και μέσω GitHub, όπου οι φορείς απειλής αξιοποιούν ενεργά την πλατφόρμα για να φιλοξενούν και να διαδίδουν κακόβουλα αρχεία APK. Αυτό καθιστά τον εντοπισμό ιδιαίτερα δύσκολο για χρήστες που εμπιστεύονται εκ προοιμίου γνωστές πλατφόρμες ανάπτυξης λογισμικού.

Οι χρήστες Android συνιστάται να λαμβάνουν τραπεζικές εφαρμογές αποκλειστικά από το Google Play, να ενεργοποιούν το Play Protect και να είναι επιφυλακτικοί απέναντι σε «αιτήματα επαλήθευσης» που τους ζητούν να τοποθετήσουν την κάρτα τους κοντά στη συσκευή τους. Επιπλέον, κανένας νόμιμος χρήστης δεν πρέπει ποτέ να «χτυπά» την τραπεζική κάρτα του στο τηλέφωνο κατόπιν αιτήματος τρίτου ή επειδή το ζητά μια εφαρμογή. Οι νόμιμες εφαρμογές ενδέχεται να χρησιμοποιούν την κάμερα για σάρωση αριθμού κάρτας, αλλά δεν θα ζητήσουν ποτέ χρήση του αναγνώστη NFC για την ίδια σας κάρτα.

Πηγές

• BleepingComputer – NFCShare Android malware spreads via fake banking app updates on GitHub
• PCRisk – PhantomCard/NFCShare Banking Trojan (Android)
• Kaspersky Blog – Direct and reverse NFC relay attacks being used to steal money

Ο ερευνητής ασφαλείας Rasmus Moorats δημοσίευσε στις 3 Ιουνίου 2026 μια τεκμηριωμένη επίδειξη παραβίασης του Creative Sound Blaster Katana V2X, ενός gaming soundbar αξίας περίπου 280 δολαρίων. Ο Moorats απέδειξε ότι το soundbar μπορεί να παραβιαστεί μέσω Bluetooth από απόσταση περίπου 15 μέτρων (16 yards), χωρίς σύζευξη ή φυσική επαφή.

Πώς λειτουργεί η επίθεση

Ο Moorats ανέλυσε το σύστημα ήχου Katana V2X και διαπίστωσε ότι το εσωτερικό πρωτόκολλο ελέγχου, γνωστό ως CTP (Creative Transfer Protocol), εκτίθεται όχι μόνο μέσω της σύνδεσης USB αλλά και μέσω Bluetooth Low Energy (BLE). Ενώ το CTP προορίζεται για αλλαγή ρυθμίσεων και ενημέρωση firmware μέσω ελεγχόμενης σύνδεσης USB, ο ερευνητής ανακάλυψε ότι οι ίδιες εντολές μπορούν να σταλούν μέσω BLE χωρίς καμία σύζευξη ή πιστοποίηση — δηλαδή οποιαδήποτε συσκευή εντός εμβέλειας μπορεί να επικοινωνήσει με τη διεπαφή ελέγχου του soundbar.

Πιο συγκεκριμένα, η διεπαφή Bluetooth Low Energy του soundbar εκθέτει το πλήρες πρωτόκολλο εντολών σε οποιαδήποτε κοντινή συσκευή χωρίς πιστοποίηση — εντολές που απαιτούν χειραψία μέσω USB περνούν εντελώς αδιαμαρτύρητα μέσω BLE.

Εκμεταλλευόμενος την μη πιστοποιημένη διεπαφή Bluetooth και την απουσία ψηφιακής υπογραφής στο firmware, ένας εισβολέας μπορεί να εγκαταστήσει παραποιημένο firmware στο soundbar μέσω αέρα, μετατρέποντας τη συσκευή — που είναι συνδεδεμένη μέσω USB — σε εικονικό πληκτρολόγιο που πληκτρολογεί εντολές στον κεντρικό υπολογιστή.

Το παραποιημένο firmware εκμεταλλεύεται το γεγονός ότι το Katana V2X είναι μια αξιόπιστη περιφερειακή συσκευή USB στον κεντρικό υπολογιστή. Στη συνέχεια προσαρτά μια καταχώρηση πληκτρολογίου στο υπάρχον HID descriptor και εισάγει αυθαίρετες πληκτρολογήσεις μετά την επανεκκίνηση. Η απόδειξη λειτουργικότητας (proof-of-concept) πληκτρολογεί echo pwned σε τερματικό. Ένας πραγματικός εισβολέας θα μπορούσε να εκτελέσει κακόβουλο κώδικα κατά βούληση.

Επιπλέον επιβαρυντικό στοιχείο: το ραδιόφωνο Bluetooth του soundbar δεν έχει δυνατότητα απενεργοποίησης και παραμένει ενεργό ακόμα και σε κατάσταση αδράνειας (sleep mode), κρατώντας την επιφάνεια επίθεσης μόνιμα ανοιχτή. Η επίθεση, που έχει αποκληθεί «Pwnd Blaster», απαιτεί μόνο η συσκευή να είναι συνδεδεμένη μέσω USB στον υπολογιστή-στόχο.

Η αντίδραση της Creative

Η Creative, με την οποία ήρθε σε επαφή ο ερευνητής μέσω της εθνικής ομάδας κυβερνοαντίδρασης της Σιγκαπούρης (SingCERT), χρειάστηκε σχεδόν δύο μήνες για να απαντήσει και κατέληξε στο συμπέρασμα ότι η συμπεριφορά αυτή δεν αποτελεί κίνδυνο για την ασφάλεια, αφήνοντας τους κατόχους του soundbar χωρίς επίσημο patch.

Σύμφωνα με τον ερευνητή, η Creative απάντησε ότι η αναφορά «δεν υποδεικνύει κίνδυνο κυβερνοασφάλειας», και από τις αρχές Ιουνίου 2026 δεν έχει κυκλοφορήσει καμία επίσημη διόρθωση firmware για το Katana V2X.

Ο Moorats επισήμανε επίσης ότι η προσθήκη κατάλληλης πιστοποίησης στο CTP είναι δύσκολη χωρίς πρόσβαση στον πηγαίο κώδικα του κατασκευαστή, αφήνοντας τους χρήστες εξαρτημένους από λύσεις τρίτων ή φυσικά μέτρα όπως η απενεργοποίηση του Bluetooth όταν δεν χρησιμοποιείται.

Προσωρινή λύση από τον ερευνητή

Ο ερευνητής κυκλοφόρησε ένα ανεπίσημο εργαλείο επιδιόρθωσης firmware, το v2x-patcher, διαθέσιμο στη σελίδα του στο Gitea, το οποίο αποκλείει τις εντολές CTP μέσω Bluetooth σε επίπεδο firmware, με πιθανό κόστος τη διακοπή λειτουργίας της επίσημης εφαρμογής της Creative για κινητά.

Το εργαλείο κατεβάζει ένα καθαρό αρχείο firmware από τους διακομιστές της Creative, το αποθηκεύει στη μνήμη, επαληθεύει την ορθότητά του, εφαρμόζει την επιδιόρθωση και το εγκαθιστά στη συσκευή. Περιλαμβάνει δικλείδες ασφαλείας για να αποτρέψει ενδεχόμενο «μαύρισμα» (bricking) της συσκευής. Είναι διαθέσιμο για Windows και Linux.

Μέχρι να κυκλοφορήσει επίσημη διόρθωση από την Creative — αν και η εταιρεία δεν δείχνει να το σχεδιάζει — οι κάτοχοι του Katana V2X καλούνται είτε να χρησιμοποιήσουν το ανεπίσημο εργαλείο, είτε να αποσυνδέουν τη συσκευή από USB όταν δεν τη χρησιμοποιούν ενεργά.

Πηγές

• Tom's Hardware – Gaming soundbar can be hijacked from over 16 yards away
• NotebookCheck – This popular $300 PC speaker can be used to hack your PC
• TechRadar – Creative's Katana V2X speaker vulnerability
• v2x-patcher – Firmware patcher for Creative Katana V2X Bluetooth vulnerability

Η ανάπτυξη του Linux 7.1 δεν περνά ήσυχα τις τελευταίες εβδομάδες πριν την κυκλοφορία της σταθερής έκδοσης. Ο David Airlie της Red Hat, που συντονίζει τα DRM pull requests για τον πυρήνα, περιγράφει τη φετινή εβδομαδιαία ροή διορθώσεων ως ιδιαίτερα βαριά — με bounds checks, memory leaks και UAF (use-after-free) σφάλματα να συσσωρεύονται, κυρίως στον οδηγό amdgpu.

Στο επίκεντρο όμως της τελευταίας DRM pull request για το Linux 7.1 βρίσκεται κάτι πιο συγκεκριμένο: η απενεργοποίηση του drm_gem_change_handle_ioctl(), ενός interface που είχαν αναπτύξει μηχανικοί της AMD τον προηγούμενο χρόνο.

Τι είναι το drm_gem_change_handle_ioctl και γιατί χρειαζόταν

Το συγκεκριμένο ioctl αποτελεί μέρος του DRM PRIME interface — του μηχανισμού που επιτρέπει την κοινή χρήση αντικειμένων buffer μεταξύ διεργασιών και οδηγών στο Linux. Η λειτουργία του είναι να επανεκχωρεί GEM handles (αριθμητικά αναγνωριστικά αντικειμένων γραφικών στη μνήμη) σε υπάρχοντα buffer objects.

Η AMD ανέπτυξε αυτό το interface στο πλαίσιο της υποστήριξης του CRIU (Checkpoint/Restore In Userspace) για φορτία εργασίας ROCm. Ο στόχος ήταν πρακτικός: να μπορεί κάποιος να «παγώσει» μια εκτελούμενη εφαρμογή ή container με φορτία επεξεργασίας ROCm, να αποθηκεύσει την κατάστασή του και να την επαναφέρει αργότερα — για παράδειγμα σε σενάρια live migration ή δημιουργίας snapshot.

CVE-2026-23149: Η αφετηρία των προβλημάτων

Στις αρχές του 2026 εντοπίστηκε η ευπάθεια CVE-2026-23149, η οποία αφορά ακριβώς αυτό το ioctl: επειδή τα GEM buffer object handles στο userspace API είναι τύπου u32, αλλά η εσωτερική υλοποίηση χρησιμοποιεί idr_alloc() με εύρη τύπου int, η αποστολή ενός νέου handle με τιμή μεγαλύτερη από INT_MAX προκαλούσε trivially kernel warning. Η αρχική διόρθωση απέρριπτε νέα handles άνω του INT_MAX — το CVE δημοσιεύτηκε στις 14 Φεβρουαρίου 2026.

Η διόρθωση αυτή, ωστόσο, δεν αρκούσε. Ακολούθησαν τρεις ακόμη προσπάθειες επίλυσης race condition μεταξύ του gem_close και του gem_change_handle ioctl, καθεμία από τις οποίες εισήγαγε νέα σφάλματα — σύγχυση μεταβλητών, ελλιπή error handling και ασυνεπείς διορθώσεις στο IDR (Internal Data Representation) του πυρήνα.

Τέσσερις αποτυχίες και η απόφαση της Simona Vetter

Η Simona Vetter (γνωστή ως «Sima» στην κοινότητα DRM) ήταν από την αρχή επιφυλακτική απέναντι στο interface. Σύμφωνα με τον Airlie, «Sima was right» — η σωστή κίνηση από την αρχή θα ήταν η απενεργοποίησή του. Το πρόβλημα επιδεινώθηκε και από το γεγονός ότι δεν είχαν συγχωνευτεί έγκαιρα τα αντίστοιχα IGT tests (δοκιμές ολοκλήρωσης για τον πυρήνα), πράγμα που αποτελεί βασική απαίτηση για οποιαδήποτε νέα διεπαφή χρήστη στον Linux πυρήνα.

Στην τέταρτη και τελευταία προσπάθεια, η Vetter επέλεξε να διορθώσει το race condition με βάση εδραιωμένα μοτίβα του πυρήνα — μετονομασία της μεταβλητής σε new_handle για αποφυγή σύγχυσης, συγχώνευση του GEM object lookup με το two-stage idr_replace, και αναδιοργάνωση των error paths — και στη συνέχεια να απενεργοποιήσει πλήρως το ioctl ωσότου υπάρξουν τυποποιημένες δοκιμές και συναίνεση στην κοινότητα. Η Vetter σημείωσε χαρακτηριστικά ότι η συζήτηση μεταφέρθηκε στις δημόσιες mailing lists επειδή «the cat is out of the bag» και οι ιδιωτικές συζητήσεις δεν οδήγησαν σε αξιόπιστη λύση.

Επίπτωση και επόμενα βήματα

Η απενεργοποίηση του ioctl επηρεάζει αποκλειστικά σενάρια checkpoint/restore για φορτία εργασίας AMD ROCm — ένα εξειδικευμένο use case που δεν αφορά την πλειονότητα των χρηστών Linux με AMD GPU. Για την επανενεργοποίησή του, η κοινότητα ζητά: συγχώνευση επαρκών IGT tests, πλήρη επίλυση του race condition μέσω δημόσιας συζήτησης στις mailing lists, και γενική συναίνεση για την ορθότητα του κώδικα.

Η αλλαγή σημειώνεται επίσης για backport σε προηγούμενες σταθερές εκδόσεις του πυρήνα, ώστε να αντιμετωπιστεί το CVE-2026-23149 και στις ενεργές σειρές υποστήριξης.

Πηγές

• Phoronix — Linux DRM Ioctl Developed By AMD Being Disabled Following Ongoing Security Issue
• Linux Kernel Mailing List — DRM fixes pull request, David Airlie
• freedesktop.org GitLab — Patch: disable drm_gem_change_handle_ioctl
• NVD — CVE-2026-23149

Ερευνητές της εταιρείας κυβερνοασφάλειας Silent Push αποκάλυψαν τη δράση μιας νέας ομάδας κυβερνοεγκληματιών που εντοπίζεται ως DriveSurge. Χιλιάδες ιστότοποι έχουν παραβιαστεί σε εκστρατείες της DriveSurge με σκοπό την ανακατεύθυνση επισκεπτών σε υποδομές διανομής κακόβουλου λογισμικού. Σύμφωνα με τους ερευνητές της Silent Push, η DriveSurge λειτουργεί κυρίως ως μεσάζων αρχικής πρόσβασης (Initial Access Broker), δηλαδή πωλεί πρόσβαση σε παραβιασμένα συστήματα σε τρίτους με μοντέλο πληρωμής ανά εγκατάσταση (pay-per-install).

Πώς λειτουργεί το σύστημα zTDS

Το κύριο εργαλείο της DriveSurge είναι ένα Σύστημα Κατανομής Κίνησης (Traffic Distribution System, TDS) — και συγκεκριμένα μια ανοιχτού κώδικα παραλλαγή του που ονομάζεται zTDS, η οποία χρησιμοποιείται από τουλάχιστον το 2015 και είναι δημόσια διαθέσιμη. Οι επισκέπτες παραβιασμένων ιστότοπων ανακατευθύνονται μέσω αυτού του zTDS, το οποίο τους «προφιλάρει» και αποφασίζει αν θα τους εμφανιστεί δόλωμα τύπου FakeUpdate ή ClickFix. Μέσω του zTDS, η DriveSurge παραβιάζει χιλιάδες νόμιμους ιστότοπους υψηλής φήμης και ανακατευθύνει αθόρυβα τους επισκέπτες σε κακόβουλο λογισμικό, εν αγνοία τόσο των ιδιοκτητών των ιστότοπων όσο και των επισκεπτών τους.

Οι δύο τύποι επίθεσης: FakeUpdate και ClickFix

Στις επιθέσεις FakeUpdate, οι κυβερνοεγκληματίες παρασύρουν τα θύματα με ψεύτικες ειδοποιήσεις ενημέρωσης λογισμικού — συνήθως με τη μορφή ενημέρωσης browser — ώστε να τα εξαπατήσουν να κατεβάσουν και να εγκαταστήσουν κακόβουλα αρχεία. Τα δολώματα FakeUpdate περιλαμβάνουν ψεύτικες ειδοποιήσεις για Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet και UC Browser.

Σε ένα επιβεβαιωμένο περιστατικό, το πάτημα του κουμπιού «ενημέρωσης» πυροδότησε τη λήψη ενός αρχείου ZIP που περιείχε πολλές βιβλιοθήκες DLL και ένα εκτελέσιμο αρχείο «Browser Update.exe». Στην περίπτωση του ClickFix, ένα ψεύτικο μήνυμα σφάλματος οδηγεί τον χρήστη να αντιγράψει και να επικολλήσει μια «διόρθωση» στο τερματικό ή στο PowerShell του — η οποία στην πραγματικότητα εγκαθιστά κακόβουλο λογισμικό.

Το ClickFix είναι μια δημοφιλής τακτική κοινωνικής μηχανικής που εξαπατά τα θύματα να αντιγράψουν και να εκτελέσουν κακόβουλες εντολές στο σύστημά τους, συχνά με το πρόσχημα επίλυσης κάποιου τεχνικού προβλήματος. Οι επιτιθέμενοι βασίζονται στην αίσθηση επείγοντος για να παρακάμψουν την κριτική σκέψη, και πολλές σελίδες ClickFix χρησιμοποιούν αντίστροφες μετρήσεις, ψεύτικους μετρητές χρηστών ή άλλες τακτικές πίεσης.

Η ταχεία ανάπτυξη του ClickFix ως απειλή

Η εταιρεία ESET ανέφερε σε έκθεσή της ότι το ClickFix «εκτοξεύτηκε κατά πάνω από 500% σε σύγκριση με το δεύτερο εξάμηνο του 2024» στα δεδομένα τηλεμετρίας της. Το ClickFix αντιπροσωπεύει πλέον περίπου το 8% όλων των αποκλεισμένων επιθέσεων στο πρώτο εξάμηνο του 2025, καθιστώντας το τον δεύτερο πιο συχνό φορέα επίθεσης μετά το phishing. Οι Ειδικοί Άμυνας της Microsoft επισήμαναν επίσης ότι στις αρχές του 2025, χιλιάδες συσκευές επηρεάστηκαν μηνιαίως από επιθέσεις ClickFix, ακόμα και με ενεργή λύση ανίχνευσης και αντιμετώπισης απειλών τερματικών (EDR).

Παράλληλα, νεότερες παραλλαγές αυξάνουν την πολυπλοκότητα των επιθέσεων. Ερευνητές έχουν εντοπίσει εκστρατείες όπου το ClickFix μιμείται πλέον οθόνη ενημέρωσης Windows, χρησιμοποιώντας πειστικά δολώματα που ιστορικά ήταν οθόνες «Human Verification» — και τώρα πλαστές «Windows Update» σελίδες που αντιγράφουν επακριβώς το πραγματικό περιβάλλον.

Πώς να προστατευτείτε

Η βασική άμυνα απέναντι σε αυτές τις επιθέσεις είναι η ενημέρωση και η επιφυλακτικότητα. Δεν πρέπει να ακολουθείτε οδηγίες ιστοσελίδας χωρίς να τις αξιολογήσετε κριτικά, ιδιαίτερα αν η σελίδα σας ζητά να εκτελέσετε εντολές στη συσκευή σας ή να κάνετε αντιγραφή-επικόλληση κώδικα. Αποφύγετε να εκτελείτε εντολές ή σενάρια από μη αξιόπιστες πηγές — ποτέ μην εκτελείτε κώδικα που αντιγράψατε από ιστότοπους, email ή μηνύματα, εκτός αν εμπιστεύεστε την πηγή και κατανοείτε τη σκοπιμότητα της ενέργειας. Αν ένας ιστότοπος σάς ζητά να κάνετε κάποια τεχνική ενέργεια, επαληθεύστε πάντα μέσω της επίσημης τεκμηρίωσης ή επικοινωνήστε απευθείας με την υποστήριξη του λογισμικού.

Πηγές

• BleepingComputer – Hackers hijack thousands of sites for ClickFix and FakeUpdate attacks
• Silent Push – Meet DriveSurge: A New Threat Actor Using ClickFix and Fake Update Drive-By Attacks
• Microsoft Security Blog – Think before you Click(Fix)

Η Palo Alto Networks ανακοίνωσε ότι εντόπισε ενεργές επιθέσεις που εκμεταλλεύονται κενό ασφαλείας στο GlobalProtect VPN, το οποίο εντοπίστηκε αρχικά στις 13 Μαΐου 2026. Η ευπάθεια, καταγεγραμμένη ως CVE-2026-0257, αφορά το PAN-OS και το Prisma Access και επέτρεπε αρχικά εκτίμηση μέτριας σοβαρότητας — αλλά η ταχύτατη ενεργοποίησή της από επιτιθέμενους ανέβασε τον χαρακτηρισμό σε υψηλό επίπεδο.

Πώς λειτουργεί η ευπάθεια

Η Palo Alto Networks διευκρίνισε ότι το CVE-2026-0257 επιτρέπει σε απομακρυσμένο, μη εξουσιοδοτημένο εισβολέα να πλαστογραφεί cookies παράκαμψης ελέγχου ταυτότητας και να δημιουργεί μη εξουσιοδοτημένες συνδέσεις VPN μέσω του GlobalProtect gateway. Η ευπάθεια υπάρχει σε μια μη προεπιλεγμένη λειτουργία, που ονομάζεται «authentication override», η οποία επιτρέπει στις πύλες και τα portals GlobalProtect να εκδίδουν cookies περιόδου σύνδεσης σε χρήστες που έχουν ήδη πιστοποιηθεί.

Συγκεκριμένα, η ευπάθεια ενεργοποιείται όταν το πιστοποιητικό (certificate) που χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση των cookies παράκαμψης κοινοποιείται με άλλο χαρακτηριστικό, όπως η υπηρεσία HTTPS του portal ή του gateway. Αυτό επιτρέπει στον εισβολέα να πλαστογραφήσει έγκυρα cookies, εντελώς εκτός του κανονικού κύκλου πιστοποίησης.

Δύο κύματα επιθέσεων επιβεβαιώνει η Rapid7

Οι ερευνητές της Rapid7 παρατήρησαν την πρώτη επιβεβαιωμένη εκμετάλλευση της ευπάθειας στις 17 Μαΐου 2026. Κατά αυτό το αρχικό κύμα, οι επιτιθέμενοι ξεκίνησαν ύποπτα αιτήματα πιστοποίησης μέσω cookies σε τοπικούς λογαριασμούς διαχειριστή σε πολλαπλά περιβάλλοντα πελατών. Η κακόβουλη κίνηση προερχόταν από διευθύνσεις IP που φιλοξενούνταν στο Vultr, ενώ οι επιτιθέμενοι μεταμφιέστηκαν ως νόμιμα τερματικά χρησιμοποιώντας το όνομα μηχανής GP-CLIENT σε συνδυασμό με πλαστή διεύθυνση MAC.

Ένα δεύτερο κύμα επιθέσεων ξεκίνησε στις 21 Μαΐου 2026, με αφετηρία τον πάροχο φιλοξενίας Dromatics Systems. Σε αυτή τη φάση, οι παράγοντες απειλής χρησιμοποίησαν το όνομα μηχανής DESKTOP-GP01 και κατάφεραν να εξασφαλίσουν πλήρεις αναθέσεις VPN IP σε ορισμένα παραβιασμένα περιβάλλοντα, αποκτώντας άμεση πρόσβαση στα εσωτερικά δίκτυα. Η συνεπής χρήση της ίδιας πλαστής διεύθυνσης MAC και στις δύο καμπάνιες υποδηλώνει έναν ενιαίο παράγοντα απειλής πίσω από αμφότερες τις επιθέσεις.

Αξίζει να σημειωθεί ότι 8 στους 10 επηρεαζόμενους πελάτες MDR αντιμετώπισαν μόνο ανιχνευτικές δοκιμές πιστοποίησης και όχι πλήρη εγκατάσταση VPN περιόδου σύνδεσης. Αυτό πιθανώς υποδηλώνει ότι η δραστηριότητα βρίσκεται σε φάση αναγνώρισης στόχων.

CISA: Υποχρεωτικό patch έως 19 Ιουνίου

Σε απάντηση στις αυξανόμενες επιθέσεις, η Αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) πρόσθεσε το CVE-2026-0257 στον Κατάλογο Γνωστών Ευπαθειών (Known Exploited Vulnerabilities — KEV) στις 29 Μαΐου 2026. Οι ομοσπονδιακές πολιτικές υπηρεσίες υποχρεούνται να εφαρμόσουν τις διορθώσεις του κατασκευαστή έως τις 19 Ιουνίου 2026, στο πλαίσιο της Δεσμευτικής Επιχειρησιακής Οδηγίας 22-01 (Binding Operational Directive 22-01).

Παρόλο που η ευπάθεια φέρει μέτρια βαθμολογία CVSSv4, οι ερευνητές της Rapid7 καλούν τις οργανώσεις να την αντιμετωπίσουν ως απειλή κρίσιμης προτεραιότητας που απαιτεί άμεση αντιμετώπιση. Ένα κενό πιστοποίησης σε μια εταιρική συσκευή VPN εκτεθειμένη στο διαδίκτυο αποτελεί σημαντικό αρχικό διάνυσμα πρόσβασης — και με επιβεβαιωμένη ενεργή εκμετάλλευση και δημόσια διαθέσιμο proof-of-concept script, το παράθυρο ασφαλούς αποκατάστασης κλείνει γρήγορα.

Εκδόσεις PAN-OS που επηρεάζονται και διορθωμένες εκδόσεις

Οι διαχειριστές πρέπει να αναβαθμίσουν άμεσα τις επηρεαζόμενες εκδόσεις PAN-OS και Prisma Access. Οι βασικές διορθωμένες εκδόσεις PAN-OS είναι οι: 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15 και 10.2.18-h6. Για το Prisma Access, όσοι τρέχουν έκδοση 11.2.0 πρέπει να αναβαθμίσουν σε 11.2.7-h13 ή νεότερη, ενώ τα περιβάλλοντα με έκδοση 10.2.0 πρέπει να αναβαθμίσουν σε 10.2.10-h36 ή νεότερη.

Τι πρέπει να κάνετε τώρα

Ως άμεσο μέτρο άμυνας, οι διαχειριστές θα πρέπει να απενεργοποιήσουν εντελώς τη λειτουργία «authentication override» αν δεν αποτελεί αυστηρή επιχειρησιακή απαίτηση. Επιπλέον, οι οργανισμοί καλούνται ανεπιφύλακτα να αναζητήσουν ενδείξεις παραβίασης σε όλα τα αρχεία καταγραφής VPN και GlobalProtect, ενώ τα κέντρα επιχειρήσεων ασφαλείας θα πρέπει να αναπτύξουν κανόνες ανίχνευσης για ύποπτες προσπάθειες πιστοποίησης μέσω cookie που στοχεύουν τοπικούς λογαριασμούς διαχειριστή.

Πηγές

• BleepingComputer: Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks
• GBHackers: Palo Alto PAN-OS Authentication Bypass Vulnerability Actively Exploited in the Wild
• Cybersecurity News: Palo Alto Networks PAN-OS Authentication Vulnerability Bypass Exploited in the Wild
• Windows News AI: CISA Flags Palo Alto GlobalProtect Auth Bypass CVE-2026-0257
• Palo Alto Networks Security Advisories (επίσημη σελίδα)

Μια νέα ευπάθεια τοπικής κλιμάκωσης δικαιωμάτων στον πυρήνα Linux, γνωστή ως «CIFSwitch», επιτρέπει σε επιτιθέμενους να παραποιήσουν περιγραφές κλειδιών CIFS αυθεντικοποίησης, να καταχραστούν τον μηχανισμό αίτησης κλειδιών του πυρήνα και να αποκτήσουν δικαιώματα root. Το πρόβλημα επηρεάζει πολλαπλές διανομές Linux που διαθέτουν ευάλωτους συνδυασμούς πυρήνα CIFS και cifs-utils (εκδόσεις 6.14 και νεότερες, αν και επηρεάζονται και παλαιότερες παραλλαγές).

Πώς λειτουργεί η επίθεση

Το CIFS (Common Internet File System) είναι πρωτόκολλο δικτύωσης που επιτρέπει πρόσβαση σε αρχεία, φακέλους και συσκευές μέσω τοπικού δικτύου. Το Linux το χρησιμοποιεί για να προσαρτά, να διαβάζει και να γράφει δεδομένα από απομακρυσμένα συστήματα. Όταν ένα κοινόχρηστο αρχείο CIFS χρησιμοποιεί Kerberos για αυθεντικοποίηση, ο πυρήνας Linux ζητά από ένα βοηθητικό πρόγραμμα στον χώρο χρήστη να εκτελέσει την αυθεντικοποίηση, με τη συλλογή εργαλείων cifs-utils να λειτουργεί ως ενδιάμεσος.

Το πρόβλημα πηγάζει από ανεπαρκή επικύρωση των περιγραφών κλειδιών στον τύπο κλειδιού CIFs.Spnego, επιτρέποντας σε μη προνομιούχους χρήστες να πλαστογραφήσουν αξιόπιστα αιτήματα πυρήνα και να ενεργοποιήσουν προνομιούχες λειτουργίες. Η εκμετάλλευση δεν βασίζεται σε καταστροφή μνήμης (δεν υπάρχουν buffer overflows), αλλά αποκλειστικά σε λογικό σφάλμα εξουσιοδότησης — γεγονός που την καθιστά πιο αθόρυβη και αξιόπιστη στην εκτέλεση.

Μέσα στον χώρο ονομάτων προσάρτησης που ελέγχει ο επιτιθέμενος, μπορεί να τοποθετηθεί ένα rogue nsswitch.conf και κακόβουλο libnss_*.so.2, ώστε μια αναζήτηση NSS με δικαιώματα root να φορτώσει και να εκτελέσει αυθαίρετο κώδικα. Στο PoC του Manizada, το κακόβουλο NSS module γράφει μια καταχώρηση στο /etc/sudoers.d, εκχωρώντας στον επιτιθέμενο πλήρη root πρόσβαση.

18 χρόνια στον κώδικα — ανακαλύφθηκε με AI

Σύμφωνα με τον ερευνητή Asim Manizada, η ευπάθεια CIFSwitch εισήχθη το 2007. Η ευπάθεια εντοπίστηκε με AI-υποβοηθούμενη προσέγγιση πολλαπλής συλλογιστικής (multihop reasoning), που κατασκευάζει και διατρέχει σημασιολογικούς γράφους αντικειμένων και ροών ασφαλείας, επιτρέποντας τη σύνδεση διάσπαρτων λογικών σφαλμάτων σε ένα λειτουργικό exploit. Η τεχνική αυτή απέδειξε ότι μπορεί να αναδείξει λανθάνουσες ευπάθειες κλιμάκωσης δικαιωμάτων στον πυρήνα που διέφυγαν 18 χρόνια χειροκίνητης επισκόπησης κώδικα.

Η αποκάλυψη έγινε μετά από εμπάργκο συντονισμένο με τις διανομές Linux, και ενημερώσεις πυρήνα είναι ήδη διαθέσιμες. Το γεγονός ότι το PoC συνόδευσε την αποκάλυψη συμπιέζει το παράθυρο εφαρμογής επιδιορθώσεων σε ώρες για κάθε σύστημα με ενεργό CIFS.

Ποιες διανομές επηρεάζονται

Σε προεπιλεγμένη ρύθμιση επιβεβαιωμένα ευάλωτες είναι: Linux Mint 21.3/22.3, Kali Linux 2021.4–2026.1, Rocky Linux 9, AlmaLinux 9.7, CentOS Stream 9 και αρκετές εκδόσεις SUSE για επιχειρήσεις. Ο ερευνητής επισημαίνει ότι διάφορες εκδόσεις Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux και Amazon Linux ενδέχεται επίσης να είναι ευάλωτες εφόσον είναι εγκατεστημένο το cifs-utils.

Εκδόσεις όπου οι προεπιλεγμένες ρυθμίσεις SELinux/AppArmor αποτρέπουν την εκμετάλλευση του CIFSwitch περιλαμβάνουν: Ubuntu 26.04, Fedora 40–44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 και openSUSE Leap 16. Η ανάθεση CVE ήταν ακόμα εκκρεμής κατά τη στιγμή της δημοσίευσης.

Προϋποθέσεις εκμετάλλευσης

Ο Manizada τονίζει ότι η ευπάθεια είναι «μη καθολική» και η εκμετάλλευσή της εξαρτάται από πολλούς παράγοντες: ευάλωτη έκδοση πυρήνα, ευάλωτη έκδοση cifs-utils, διαθεσιμότητα χώρων ονομάτων χρήστη (user namespaces) χωρίς δικαιώματα, και πολιτικές SELinux/AppArmor που δεν αποκλείουν το μονοπάτι επίθεσης. Το γεγονός ότι το cifs-utils δεν είναι εγκατεστημένο εξ ορισμού σε όλες τις διανομές προσφέρει κάποια ανακούφιση, αλλά η ευρεία χρήση του σε περιβάλλοντα επιφάνειας εργασίας, εικονικές μηχανές cloud και containers δημιουργεί εκτεταμένη επιφάνεια επίθεσης.

Τέταρτη κλιμάκωση δικαιωμάτων σε Linux μέσα σε λίγες εβδομάδες

Η ευπάθεια είναι ανησυχητική και ως τάση: αποτελεί την τέταρτη σοβαρή ευπάθεια κλιμάκωσης δικαιωμάτων στον πυρήνα Linux που απαιτεί άμεση δράση μέσα σε λίγες εβδομάδες, μετά τις πρόσφατες «Copy Fail», «Dirty Frag» και «Fragnesia».

Ποια μέτρα πρέπει να ληφθούν

Η επιδιόρθωση από την πλευρά του πυρήνα είναι δημόσια και προγραμματισμένη για σταθερή κυκλοφορία — απορρίπτει περιγραφές cifs.spnego που προέρχονται από τον χώρο χρήστη, επαληθεύοντας ότι μόνο το CIFS μπορεί να τις δημιουργήσει μέσω των

Το 7-Zip, το δωρεάν εργαλείο αποσυμπίεσης που χρησιμοποιούν εκατοντάδες εκατομμύρια χρήστες παγκοσμίως, βρίσκεται στο επίκεντρο μιας από τις πιο σοβαρές ευπάθειες που έχουν αποκαλυφθεί φέτος. Αποκαλύφθηκε κρίσιμη υπερχείλιση buffer στη στοίβα μνήμης (heap buffer overflow) του 7-Zip έκδοση 26.00, η οποία επιτρέπει σε επιτιθέμενους να επιτύχουν εκτέλεση αυθαίρετου κώδικα μέσω παραβίασης του πίνακα εικονικών συναρτήσεων (vtable hijack), εκμεταλλευόμενοι ελάττωμα στον χειριστή NTFS αρχείων. Το CVE παρακολουθείται ως CVE-2026-48095 και η συμβουλευτική αναφορά φέρει κωδικό GHSL-2026-140.

Πώς λειτουργεί η επίθεση

Το ελάττωμα εντοπίζεται στη συνάρτηση CInStream::GetCuSize() μέσα στο αρχείο NtfsHandler.cpp. Η συνάρτηση υπολογίζει το μέγεθος buffer συμπίεσης NTFS χρησιμοποιώντας μια 32-bit πράξη ολίσθησης bits. Όταν ένα παραποιημένο NTFS image ορίζει την τιμή ClusterSizeLog >= 28 — τιμή που ο parser αποδέχεται κανονικά — και ο εκθέτης ολίσθησης φτάσει το 32, προκαλείται απροσδιόριστη συμπεριφορά (undefined behavior) σε επίπεδο C++.

Σε υλικό x86, αυτή η απροσδιόριστη συμπεριφορά προκαλεί την κατανομή ενός buffer μόλις 1 byte λόγω υλικής συγκάλυψης των shift counts. Το υπό-διαστατό αυτό buffer χρησιμοποιείται άμεσα σε κλήση που γράφει έως 256 MB δεδομένων ελεγχόμενων από τον επιτιθέμενο σε αυτό το μονό byte. Σε 64-bit συστήματα με 16 GB RAM ή περισσότερα, η κλήση κατανομής 8 GB επιτυγχάνει και η εκτέλεση προχωρά κατευθείαν στην υπερχείλιση· σε συστήματα με λίγη μνήμη, η αποτυχία κατανομής περιορίζει την επίπτωση σε άρνηση παροχής υπηρεσίας (DoS).

Η ευπάθεια φέρει βαθμολογία CVSS 3.1: 8.8 (Υψηλή) με διάνυσμα AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H και κατατάσσεται στις κατηγορίες CWE-787 (Out-of-Bounds Write) και CWE-190 (Integer Overflow or Wraparound).

Το πιο επικίνδυνο στοιχείο: η επέκταση αρχείου δεν έχει σημασία

Αν ένας χρήστης ανοίξει απλώς ένα παγιδευμένο αρχείο (.7z, .zip, .rar κ.λπ.) σε μηχανή με τουλάχιστον 16 GB RAM, θα εκτελέσει κακόβουλο κώδικα. Δεν χρειάζεται καν να γίνει αποσυμπίεση — αρκεί μόνο το άνοιγμα.

Ο χειριστής NTFS χρησιμοποιεί εναλλακτική ανίχνευση βάσει υπογραφής, αντιστοιχώντας στην υπογραφή «NTFS» στη θέση byte 3. Αυτό σημαίνει ότι ένα παραποιημένο NTFS image που φέρει οποιαδήποτε επέκταση — .7z, .zip, .rar, ή ακόμα και καμία επέκταση — μπορεί να ενεργοποιήσει τον ευάλωτο χειριστή. Με άλλα λόγια, η επέκταση του αρχείου δεν αποτελεί κανένα προστατευτικό φραγμό.

Κλίμακα έκθεσης: εκατοντάδες εκατομμύρια μηχανές

Το Sourceforge καταγράφει περίπου 400 εκατομμύρια λήψεις του 7-Zip, ενώ το Chocolatey άλλα 24,5 εκατομμύρια· προσθέτοντας τους αμέτρητους διακομιστές Linux και εικονικές μηχανές, μιλάμε ενδεχομένως για εκατοντάδες εκατομμύρια ευάλωτες μηχανές.

Οι περισσότεροι σκέφτονται μόνο την εφαρμογή γραφικού περιβάλλοντος για Windows, αλλά κάθε παραλλαγή γραμμής εντολών είναι επίσης ευάλωτη, σε πολλά λειτουργικά συστήματα. Το 7-Zip δεν διαθέτει ενσωματωμένο μηχανισμό αυτόματης ενημέρωσης — βασίζεται στην πρωτοβουλία του χρήστη ή στα συστήματα διαχείρισης πακέτων.

Επιπλέον, αρκετές διανομές Linux περιλαμβάνουν παλαιές εκδόσεις του «p7zip», μιας θύρας του εργαλείου. Δοκιμές του Tom's Hardware επιβεβαίωσαν ότι Ubuntu 24, Ubuntu 26 και RHEL 8 φέρουν ευάλωτες εκδόσεις.

Η ανοιχτή φύση του 7-Zip σημαίνει ότι οι βασικές βιβλιοθήκες του συμπεριλαμβάνονται σε πλήθος λογισμικού τρίτων: σαρωτές antivirus, εργαλεία δημιουργίας αντιγράφων ασφαλείας και αυτοματισμού, λογισμικό ανάλυσης καταγραφών και ακόμα και πολλοί διαχειριστές αρχείων. Το συγκεκριμένο λογισμικό δεν απαιτεί καμία ενέργεια από τον χρήστη για να επεξεργαστεί ένα παγιδευμένο αρχείο, και μεγάλο μέρος του λειτουργεί με αυξημένα δικαιώματα.

Πολλά συστήματα OEM συμπεριλαμβάνουν το 7-Zip εξ ορισμού, ενώ το πακέτο «p7zip» είναι διαδεδομένο στο Fedora και πολλές εικόνες Docker τρέχουν σε κύριες εκδόσεις του.

Τι πρέπει να κάνεις τώρα

Η σύσταση είναι κατηγορηματική: άμεση ενημέρωση στην τελευταία έκδοση 26.01, που κυκλοφόρησε στα τέλη Απριλίου — όλες οι προηγούμενες εκδόσεις είναι ευάλωτες. Επειδή το 7-Zip δεν ενημερώνεται αυτόματα, οι χρήστες πρέπει να μεταβούν χειροκίνητα στον επίσημο ιστότοπο 7-zip.org και να κατεβάσουν την έκδοση 26.01. Σε περιβάλλοντα Linux, ο έλεγχος και η ενημέρωση του πακέτου p7zip μέσω του διαχειριστή πακέτων της διανομής είναι εξίσου επιτακτικός.

Για διαχειριστές συστημάτων με αυτοματοποιημένες ροές επεξεργασίας αρχείων — όπως διακομιστές που σαρώνουν ή παραθέτουν περιεχόμενο αρχείων — η έκθεση είναι ιδιαίτερα σοβαρή, καθώς δεν απαιτείται ανθρώπινη αλληλεπίδραση για την ενεργοποίηση της ευπάθειας.

Πηγές

• Tom's Hardware — Wide-ranging 7-zip vulnerability with 8.8 CVE rating
• Cyber Security News — New 7-Zip Vulnerabilities Let Attackers Execute Arbitrary Code

Η ομάδα Microsoft Defender Experts ανακοίνωσε επίσημα στις 26 Μαΐου 2026 ότι παρακολουθεί ενεργή καμπάνια cryptojacking — δηλαδή κρυφής εξόρυξης κρυπτονομισμάτων — που χρησιμοποιεί συνδυασμό ψεύτικων ιστοσελίδων λήψης λογισμικού, παραποιημένων αποτελεσμάτων αναζήτησης και, σε πρόσφατες παραλλαγές, κακόβουλων συνδέσμων μέσα σε απαντήσεις AI chatbots.

Ποιους στοχεύει και γιατί

Η καμπάνια υποδύεται γνωστά εργαλεία συστήματος, όπως CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack και PDFgear, στοχεύοντας χρήστες που είναι πιθανό να διαθέτουν κάρτες γραφικών υψηλών επιδόσεων. Η επιλογή αυτών των εφαρμογών δεν είναι τυχαία: κάθε μία από αυτές προτιμάται από enthusiasts hardware και PC, ακριβώς το κοινό που είναι πιο πιθανό να διαθέτει ισχυρή κάρτα γραφικών — το υλικό που κάνει οικονομικά βιώσιμη την εξόρυξη κρυπτονομισμάτων μέσω GPU.

Αντί να μεγιστοποιήσουν τον όγκο μολύνσεων, οι επιτιθέμενοι φαίνεται να εστιάζουν στη στόχευση συστημάτων με υψηλότερη αξία για mining. Πρόκειται για στρατηγική αλλαγή σε σχέση με παλαιότερες καμπάνιες που απλώς «ψάρευαν» όγκο.

Πώς λειτουργεί η αλυσίδα μόλυνσης

Όλα ξεκινούν όταν ένας χρήστης αναζητά γνωστά εργαλεία συστήματος ή λογισμικό παρακολούθησης υλικού σε μηχανές αναζήτησης — και οι κακόβουλες ιστοσελίδες εμφανίζονται ψηλά στα αποτελέσματα μέσω τεχνικών SEO poisoning. Σε μεταγενέστερες παραλλαγές που παρατηρήθηκαν τον Απρίλιο του 2026, οι χρήστες οδηγούνταν σε αυτές τις ιστοσελίδες όχι μέσω αποτελεσμάτων αναζήτησης, αλλά μέσω αλληλεπίδρασης με εργαλεία βασισμένα σε γλωσσικά μοντέλα (LLM). Σύμφωνα με τη Microsoft: «Σε αυτές τις περιπτώσεις, χρήστες που ρωτούσαν AI chatbots για συστάσεις λήψης λογισμικού λάμβαναν συνδέσμους σε domains ελεγχόμενα από τους επιτιθέμενους μέσα στις παραγόμενες απαντήσεις.»

Ανάλυση δεδομένων VirusTotal που συνδέονται με αυτά τα domains εντόπισε μεταδεδομένα κίνησης που παραπέμπουν σε αλληλεπιδράσεις chatbot ως πιθανό πλαίσιο παραπομπής. Η συμπεριφορά αυτή είναι συνεπής με αναδυόμενες τεχνικές δηλητηρίασης αποτελεσμάτων AI αναζήτησης, ως επέκταση του παραδοσιακού SEO poisoning πέρα από τις συμβατικές μηχανές αναζήτησης.

Συνολικά έχουν εντοπιστεί περισσότερα από 150 κακόβουλα domains που διανέμουν τα παραποιημένα εργαλεία. Το αρχείο ZIP που κατεβαίνει περιέχει ένα νόμιμο εκτελέσιμο αρχείο μαζί με ένα κακόβουλο DLL («autorun.dll») που φορτώνεται πλευρικά όταν ο χρήστης εκκινεί το πρόγραμμα. Το DLL εγκαθιστά ένα δεύτερο κακόβουλο αρχείο με την ονομασία «vcredist_x64.dll» μέσω του «msiexec.exe» — πρόκειται για εγκαταστάτη λογισμικού ScreenConnect.

Μόλις εκκινηθεί, το κακόβουλο λογισμικό αναπτύσσει αθόρυβα έναν miner που καταλαμβάνει κύκλους της GPU για εξόρυξη κρυπτονομισμάτων — συνήθως Monero ή άλλα νομίσματα απορρήτου.

Πέρα από το mining: επίμονη απομακρυσμένη πρόσβαση

Πέρα από την εξόρυξη κρυπτονομισμάτων, η καμπάνια εγκαθιστά επίμονη απομακρυσμένη πρόσβαση μέσω κατεχόμενων εγκαταστάσεων ScreenConnect, που μελλοντικά θα μπορούσαν να υποστηρίξουν κλοπή δεδομένων, πλευρική κίνηση εντός δικτύου ή δραστηριότητα ransomware. Αυτό σημαίνει ότι ακόμα κι αν η μόλυνση αρχικά αποσκοπεί στην εξόρυξη κρυπτονομισμάτων, ο ελεγχόμενος από τον επιτιθέμενο απομακρυσμένος έλεγχος παραμένει ως «πόρτα» για πολύ σοβαρότερες επιθέσεις.

Τι πρέπει να κάνεις

Η βασική άμυνα είναι απλή: κατεβάζεις εργαλεία λογισμικού αποκλειστικά από τις επίσημες ιστοσελίδες των κατασκευαστών — όχι από αποτελέσματα αναζήτησης χωρίς επαλήθευση, και σίγουρα όχι από συνδέσμους που σου πρότεινε AI chatbot. Σε αντίθεση με τα κλασικά κακόβουλα λογισμικά, το cryptojacking δεν κρυπτογραφεί αρχεία ούτε κλέβει δεδομένα ευθέως — γι' αυτό ακριβώς παραμένει εκτός ραντάρ για μεγάλο χρονικό διάστημα, μέχρι να εντοπιστεί από ασυνήθιστα υψηλή χρήση GPU ή κατανάλωση ρεύματος. Λύσεις endpoint security όπως το Microsoft Defender (με ενεργή προστασία σε πραγματικό χρόνο) μπορούν να ανιχνεύσουν το ύποπτο DLL sideloading πριν εκκινηθεί ο miner.

Πηγές

• Microsoft Security Blog — From poisoned search results to GPU mining (26 Μαΐου 2026)
• BleepingComputer — GPU mining malware spreads via SEO poisoning, AI chatbots
• The Hacker News — AI Chatbot Recommendations Redirect Users to Cryptojacking Malware Sites

Τρεις ευπάθειες κλιμάκωσης τοπικών προνομίων (Local Privilege Escalation — LPE) στον πυρήνα Linux εμφανίστηκαν η μία μετά την άλλη μέσα σε διάστημα μικρότερο των τριών εβδομάδων: Copy Fail στις 29 Απριλίου 2026, Dirty Frag στις 7 Μαΐου και Fragnesia στις 13 Μαΐου. Και οι τρεις ευπάθειες ανακαλύφθηκαν με τη βοήθεια μεγάλων γλωσσικών μοντέλων (LLM) και δημοσιοποιήθηκαν λίγο μετά την ανακάλυψή τους. Αυτό που ξεκίνησε σαν μια άτυχη σύμπτωση αποδεικνύεται ότι είναι κάτι πολύ πιο σημαντικό: η αλλαγή του τρόπου με τον οποίο βρίσκονται και αποκαλύπτονται κρίσιμα κενά ασφαλείας σε ανοιχτό κώδικα.

Τρεις ευπάθειες, ένα κοινό σημείο αδυναμίας

Και οι τρεις ευπάθειες αφορούν τη λειτουργία zero-copy του πυρήνα Linux: Copy Fail (CVE-2026-31431), Dirty Frag (CVE-2026-43284 και CVE-2026-43500) και Fragnesia (CVE-2026-46300). Κάνουν κατάχρηση εντολών συστήματος (syscalls) που αφορούν τη μνήμη, όπως splice, vmsplice και παρόμοιους μηχανισμούς zero-copy, για να τροποποιούν τα περιεχόμενα αρχείων που βρίσκονται στην κρυφή μνήμη RAM χωρίς να αλλάζουν το αρχείο στον δίσκο.

Το Copy Fail εντοπίζεται στο algif_aead crypto API του πυρήνα, μια διεπαφή socket για πιστοποιημένη κρυπτογράφηση, και εισήχθη στον πυρήνα 4.14 το 2017. Το Dirty Frag αφορά τρία ξεχωριστά ζητήματα στα modules IPsec ESP/XFRM (esp4/esp6) και rxrpc· λόγω των ομοιοτήτων του με το Copy Fail, αναφέρεται επίσης ως «Copy Fail 2».

Το Fragnesia «ενεργοποιήθηκε κατά λάθος» από το patch που διόρθωνε μία από τις αρχικές ευπάθειες του Dirty Frag (CVE-2026-43284), και ανακαλύφθηκε από τον William Bowling της Zellic.io με τη βοήθεια του AI-agentic εργαλείου ελέγχου κώδικα της εταιρείας. Τόσο η Wiz όσο και η V12 επισημαίνουν ότι το exploit αποφεύγει εξ ολοκλήρου τις race conditions, καθιστώντας το πολύ πιο προβλέψιμο από παλαιότερα Linux root exploits όπως το Dirty COW.

Πόσο επικίνδυνες είναι στην πράξη

Οι ευπάθειες απαιτούν ο εισβολέας να έχει ήδη αποκτήσει πρόσβαση στο μηχάνημα και δεν επιτρέπουν απομακρυσμένη εκτέλεση κώδικα· ωστόσο είναι εξαιρετικά εύκολο να εκμεταλλευτεί κανείς, χρησιμοποιώντας μόνο native εργαλεία (π.χ. Python με την τυπική βιβλιοθήκη), με αποτέλεσμα την απόκτηση δικαιωμάτων διαχειριστή (root).

Το Copy Fail, το Dirty Frag και το Fragnesia παρουσιάζουν μικρότερο κίνδυνο για μονοχρηστικούς σταθμούς εργασίας και servers ενός μόνο χρήστη, αλλά είναι ιδιαίτερα επικίνδυνα για κοινόχρηστους Linux hosts (όπου πολλοί χρήστες μοιράζονται τον πυρήνα), συμπλέγματα containers και CI runners. Ένας εισβολέας που αποκτά πρόσβαση σε ένα σύστημα μέσω phishing, κλεμμένων διαπιστευτηρίων ή ευάλωτου φορτίου εργασίας στο cloud έχει πλέον μια καθαρή και αξιόπιστη διαδρομή προς πλήρη root πρόσβαση.

Η αμερικανική Υπηρεσία Κυβερνοασφάλειας (CISA) πρόσθεσε το Copy Fail στον κατάλογο ευπαθειών που εκμεταλλεύονται ενεργά στις 1 Μαΐου και διέταξε τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τα Linux συστήματά τους εντός δύο εβδομάδων, έως τις 15 Μαΐου. Επίσης, στις 18 Μαΐου 2026, αποκαλύφθηκε και αντιμετωπίστηκε νέα παραλλαγή Dirty Frag και Fragnesia, γνωστή ως DirtyDecrypt (ή DirtyCBC), με δημόσια διαθέσιμο proof-of-concept exploit.

Το AI ως Δαμόκλειος Σπάθη

Ο Igor Seletskiy, διευθύνων σύμβουλος της CloudLinux, δήλωσε: «Κανονικά βλέπουμε μία ή δύο ευπάθειες LPE σε επίπεδο πυρήνα που επηρεάζουν πολλές διανομές ανά έτος. Και τώρα βλέπουμε δύο τέτοιες ευπάθειες με διαφορά μιας εβδομάδας. Πρέπει να περιμένουμε ότι αυτή η τάση θα συνεχιστεί για αρκετούς μήνες, πράγμα που σημαίνει ότι οι εταιρείες μπορεί να χρειαστεί να επανεκκινούν τους servers εβδομαδιαία.»

Ο Linus Torvalds, μιλώντας στο Open Source Summit North America στη Μινεάπολη, ανέφερε ότι μέχρι πρόσφατα η κοινότητα του πυρήνα ειδοποιούσε αθόρυβα τις διανομές για ένα σφάλμα και τους ζητούσε να αναβαθμίσουν χωρίς να αποκαλύπτει λεπτομέρειες για την ευπάθεια, και «τις περισσότερες φορές κανείς δεν καταλάβαινε τι είχε συμβεί». Τώρα, με την ανάλυση που επιταχύνει το AI, θυμάται ότι «την περασμένη εβδομάδα διορθώσαμε ένα σφάλμα· μέσα σε τρεις ώρες υπήρχε blog post για τις επιπτώσεις αυτής της διόρθωσης, επειδή οι ειδικοί ασφαλείας λατρεύουν την προσοχή».

Δεν είναι ότι το Linux έγινε ξαφνικά λιγότερο ασφαλές· απλώς τα «μάτια» του AI είναι πολύ καλύτερα στον εντοπισμό σφαλμάτων από ό,τι τα ανθρώπινα. Ο Greg Kroah-Hartman, συντηρητής του σταθερού πυρήνα Linux, παραδέχεται ότι είναι δύσκολο να πει κανείς αν τα πράγματα χειροτερεύουν, σημειώνοντας ότι «οι "πρόσφατες" ευπάθειες είναι πραγματικά πολύ μικρές» και ότι ο αριθμός των συστημάτων με «μη αξιόπιστους χρήστες» δεν είναι πλέον συνηθισμένος.

Ποιες διανομές επηρεάζονται και τι πρέπει να κάνετε

Στα επηρεαζόμενα περιβάλλοντα συγκαταλέγονται Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE και OpenShift. Αντίστοιχες ανακοινώσεις έχουν εκδώσει επίσης Amazon Linux, CloudLinux, Debian, Gentoo, Red Hat Enterprise Linux, SUSE και Ubuntu.

Για το Copy Fail, η απενεργοποίηση του algif_aead μειώνει την έκθεση· για Dirty Frag και Fragnesia, η απενεργοποίηση των esp4, esp6 και rxrpc βοηθά, αλλά αυτά τα μέτρα μπορεί να επηρεάσουν περιβάλλοντα που εξαρτώνται από IPsec/VPN και RxRPC/AFS. Η απενεργοποίηση των unprivileged user namespaces μπορεί επίσης να επηρεάσει containers χωρίς root, sandboxed browsers και Flatpak.

Ο Chris Wright, CTO της Red Hat, τόνισε ότι είναι καιρός να μεταβούμε από τη χρήση SELinux σε permissive λειτουργία στη restrictive. Η αυστηρή επιβολή ασφάλειας είναι επώδυνη, αλλά ακόμα πιο επώδυνη είναι η ανάγκη ανοικοδόμησης containers και servers μετά από μια σοβαρή επίθεση.

Πηγές

• The Register — AI eyes scanning for bugs create a worrisome Linux security trend (23/05/2026)
• Huntress — Panic at the Distro: CopyFail, Dirty Frag, Fragnesia
• Microsoft Security Blog — Dirty Frag Linux vulnerability (08/05/2026)
• Red Hat Security Bulletin — RHSB-2026-003 Networking subsystem Privilege Escalation
• Help Net Security — Fragnesia: New Linux kernel LPE bug (CVE-2026-46300)
• Gentoo Linux — Copy Fail, Dirty Frag, and Fragnesia kernel vulnerabilities (19/05/2026)

Η ιταλική οικονομική αστυνομία Guardia di Finanza — που υπάγεται στο Υπουργείο Οικονομίας και Οικονομικών — κατέστρεψε έναν από τους τεχνικά πιο εξελιγμένους πειρατικούς οργανισμούς streaming που έχουν καταγραφεί στην Ευρώπη. Στο επίκεντρο βρισκόταν η εφαρμογή CINEMAGOAL, η οποία παρείχε παράνομη πρόσβαση σε Netflix, Disney+, Sky, DAZN και Spotify σε χιλιάδες συνδρομητές.

Πώς λειτουργούσε το CINEMAGOAL

Σε αντίθεση με τις κλασικές υπηρεσίες πειρατείας IPTV που αυτοπροβάλλονται ανοιχτά στο διαδίκτυο, η προσέγγιση του CINEMAGOAL ήταν πιο διακριτική: διένειμε μια εφαρμογή που οι χρήστες εγκαθιστούσαν οι ίδιοι στις συσκευές τους. Αντί να αντιγράφει μια κλεμμένη ροή, το CINEMAGOAL κρυβόταν μέσα στους ίδιους τους μηχανισμούς ελέγχου πρόσβασης των πλατφορμών.

Εικονικές μηχανές λειτουργούσαν επί εικοσιτετραώρου βάσεως σε ιταλικό έδαφος, καταγράφοντας και αναμεταδίδοντας κωδικούς πρόσβασης από νόμιμες συνδρομές — εγγεγραμμένες σε ψεύτικους λογαριασμούς — κάθε τρία λεπτά. Το σύστημα παρέκαμπτε τους ελέγχους ασφαλείας των πλατφορμών και δεν απαιτούσε σύνδεση που να σχετίζεται άμεσα με μια συγκεκριμένη διεύθυνση IP, καθιστώντας δυσκολότερο τον εντοπισμό των χρηστών.

Η έρευνα, που διεύθυνε η Guardia di Finanza μαζί με εισαγγελείς της Μπολόνια, στόχευσε αυτό που η αστυνομία περιέγραψε ως «προηγουμένως άγνωστο σύστημα πειρατείας» — σε αντίθεση με τις παραδοσιακές πειρατικές επιχειρήσεις IPTV που βασίζονται σε παράνομα αποκωδικοποιητές. Την επιχείρηση στην Ιταλία διεύθυνε το τμήμα Ραβέννας της οικονομικής αστυνομίας.

Επιχείρηση «Tutto Chiaro»: τα νούμερα

Κατά τη διάρκεια της μεγάλης αντιπειρατικής επιχείρησης με την κωδική ονομασία «Tutto Chiaro» («Όλα Ξεκάθαρα»), οι ιταλικές αρχές πραγματοποίησαν 100 έρευνες σε όλη τη χώρα και κατάσχεσαν υλικό που μπορεί να βοηθήσει τους ερευνητές να εντοπίσουν εμπλεκόμενα άτομα και να προσδιορίσουν το ύψος των παράνομων κερδών. Στην επιχείρηση συμμετείχαν 200 αξιωματικοί οικονομικής αστυνομίας.

Σε δράση που συντόνισε η Eurojust, αστυνομικές δυνάμεις κατάσχεσαν διακομιστές του CINEMAGOAL σε Γαλλία και Γερμανία, οι οποίοι περιείχαν τον πηγαίο κώδικα της εφαρμογής και τις λειτουργίες αποκωδικοποίησης προστατευμένων ροών. Οι εισαγγελείς της Μπολόνια, σε συνεργασία με την Eurojust, εξασφάλισαν την κατάσχεση ξένων διακομιστών που αποθήκευαν δεδομένα αποκρυπτογράφησης και τον πηγαίο κώδικα της εφαρμογής, με παράλληλες επιχειρήσεις σε Γαλλία και Γερμανία.

Κατά τη διάρκεια της ίδιας επιχείρησης, εντοπίστηκε και διαλύθηκε παράλληλα μια υπηρεσία IPTV γνωστή ως «pezzotto» — ο ιταλικός λαϊκός όρος για τις παράνομες συνδέσεις πειρατικής τηλεόρασης μέσω αποκωδικοποιητή. Οι ερευνητές επισήμαναν ότι το ίδιο δίκτυο διαχειριζόταν παράλληλα την πιο γνωστή μορφή πειρατικής IPTV τύπου pezzotto, γεγονός που υποδηλώνει ότι το CINEMAGOAL ήταν μία γραμμή προϊόντος μέσα σε μια ευρύτερη επιχείρηση.

Κόστος, συνδρομές και αποζημιώσεις

Η παράνομη υπηρεσία διέθετε περισσότερους από 70 μεταπωλητές, οι οποίοι πουλούσαν ετήσιες συνδρομές μεταξύ 40 και 130 ευρώ (46–150 δολάρια). Οι πληρωμές γίνονταν με κρυπτονομίσματα ή σε ξένους τραπεζικούς λογαριασμούς εγγεγραμμένους σε ψεύτικα ονόματα.

Εκτιμάται ότι το CINEMAGOAL προκάλεσε ζημιές περίπου 300 εκατομμυρίων ευρώ (347 εκατ. δολάρια) σε απλήρωτα έσοδα συνδρομών κατά τη διάρκεια της λειτουργίας του. Οι ερευνητές επισημαίνουν ότι το νούμερο αυτό είναι προκαταρκτικό και θα αναθεωρηθεί καθώς αναλυθεί το κατασχεθέν υλικό.

Οι αρχές έχουν ήδη εντοπίσει πολλούς συνδρομητές και έχουν αποστείλει πρόστιμα που κυμαίνονται από 154 έως 5.000 ευρώ (179–5.800 δολάρια) στους πρώτους 1.000 από αυτούς. Οι αρχές αναλύουν τώρα το κατασχεθέν υλικό για να εντοπίσουν όλα τα εμπλεκόμενα μέρη, συμπεριλαμβανομένων των τελικών χρηστών, και να εκτιμήσουν τα συνολικά κέρδη.

Πλαίσιο: η Ιταλία και η καταπολέμηση της πειρατείας

Η Ιταλία τα τελευταία δύο χρόνια εκτελεί διαδοχικές επιχειρήσεις κατά της πειρατείας IPTV, μεγάλο μέρος της οποίας οργανώνεται γύρω από το σύστημα αποκλεισμού Piracy Shield, που διαχειρίζεται η AGCOM και στηρίζεται από τη Serie A και τους μεγάλους τηλεοπτικούς παρόχους. Η επιχείρηση «Tutto Chiaro» υποδηλώνει ότι το επόμενο κύμα παράκαμψης έχει ήδη ξεπεράσει την απλή αποκλεισμένη γεωγραφική πρόσβαση — αντί να αντιγράφει μια κλεμμένη ροή, το CINEMAGOAL κρυβόταν μέσα στους ίδιους τους μηχανισμούς ελέγχου πρόσβασης των πλατφορμών.

Η έρευνα για το CINEMAGOAL βρίσκεται ακόμη σε προκαταρκτικό στάδιο, όπως διευκρίνισε η Guardia di Finanza. Η επιχείρηση ωστόσο θέτει ένα νέο ερώτημα για ολόκληρο τον κλάδο streaming: αν οι παράνομες υπηρεσίες μπορούν να κρύβονται μέσα στα ίδια τα συστήματα ταυτοποίησης των πλατφορμών, η ανίχνευσή τους καθίσταται σαφώς δυσκολότερη υπόθεση από ό,τι ήταν έως τώρα.

Πηγές

• BleepingComputer — Italy disrupts CINEMAGOAL piracy app that stole streaming auth codes
• The Next Web — Italian police seize a piracy app that streamed Sky, DAZN, and Netflix through hijacked real accounts
• RTÉ News — Italy busts €300 million streaming piracy ring
• Broadband TV News — Italy dismantles €300 million streaming piracy network
• Engadget — Italian authorities shut down major streaming piracy network

Ο πυρήνας Linux αντιμετωπίζει διαδοχικά κενά ασφαλείας κλιμάκωσης δικαιωμάτων: ξεκινώντας με το Copy Fail και ακολουθώντας με το Dirty Frag και το Fragnesia. Τα τρία αυτά κενά δεν είναι τυχαία σύμπτωση — όλα ανακαλύφθηκαν με τη βοήθεια μεγάλων γλωσσικών μοντέλων (LLM) και δημοσιοποιήθηκαν σχεδόν αμέσως μετά την ανακάλυψή τους.

Τι είναι το Copy Fail, το Dirty Frag και το Fragnesia

Και τα τρία κενά ασφαλείας αφορούν τη λειτουργία zero-copy του πυρήνα Linux και φέρουν τα CVE-2026-31431 (Copy Fail), CVE-2026-43284 και CVE-2026-43500 (Dirty Frag) και CVE-2026-46300 (Fragnesia).

Το Copy Fail είναι κενό ασφαλείας στο algif_aead crypto API του πυρήνα Linux — το API που παρέχει διεπαφή socket για authenticated encryption — και εισήχθη στον πυρήνα 4.14 το 2017. Στις 29 Απριλίου 2026, ερευνητές της Xint Code ανακοίνωσαν το Copy Fail μαζί με δημόσιο proof-of-concept (PoC) exploit.

Μία εβδομάδα αργότερα, ο ερευνητής Hyunwoo Kim αποκάλυψε ένα δεύτερο κενό κλιμάκωσης δικαιωμάτων στον πυρήνα Linux, στις ίδιες περιοχές κώδικα — IPsec ESP και rxrpc — και το ονόμασε Dirty Frag. Δημόσιο PoC exploit υπάρχει από την πρώτη μέρα: οποιοσδήποτε τοπικός χρήστης χωρίς δικαιώματα μπορεί να το χρησιμοποιήσει για να αποκτήσει root με μια εντολή.

Στις 13 Μαΐου, ο William Bowling της ομάδας V12 security ανακοίνωσε το Fragnesia και PoC exploit, που επίσης οδηγεί σε άμεση πρόσβαση root. Σύμφωνα με τον Kim, το Fragnesia «ενεργοποιήθηκε κατά λάθος» από το patch που διόρθωσε το CVE-2026-43284 του Dirty Frag — και ανακαλύφθηκε από τον Bowling με τη βοήθεια AI εργαλείου αυτόματης ανάλυσης κώδικα της Zellic.io.

Ο κοινός παρονομαστής: η κρυφή μνήμη σελίδων

Και τα τρία κενά ανήκουν στην ίδια κατηγορία σφαλμάτων που σχετίζεται με διαφθορά της κρυφής μνήμης σελίδων (page cache) και της λειτουργίας zero-copy. Εκμεταλλεύονται εντολές του πυρήνα που χειρίζονται μνήμη — όπως splice, vmsplice και παρεμφερείς μηχανισμοί — για να τροποποιούν τα περιεχόμενα αρχείων στη μνήμη RAM χωρίς να αλλάζει το ίδιο το αρχείο στον δίσκο.

Ο Kim εξηγεί το πρόβλημα: στο zero-copy send path, το splice() τοποθετεί αναφορά σε μια σελίδα της κρυφής μνήμης που ο επιτιθέμενος έχει μόνο δικαίωμα ανάγνωσης. Ο πυρήνας στη συνέχεια εκτελεί κρυπτογράφηση in-place σε αυτή τη σελίδα, με αποτέλεσμα να τροποποιεί στη μνήμη αρχεία όπως το /etc/passwd ή το /usr/bin/su — και κάθε επόμενη ανάγνωση βλέπει την αλλαγμένη εκδοχή.

Σύμφωνα με τη Microsoft, το Dirty Frag «εισάγει πολλαπλές διαδρομές επίθεσης μέσω των στοιχείων rxrpc και esp/xfrm για να βελτιώσει την αξιοπιστία της εκμετάλλευσης» και φαίνεται σχεδιασμένο να επιτυγχάνει σταθερά αποτελέσματα αντί να στηρίζεται σε στενά χρονικά παράθυρα ή ασταθείς συνθήκες.

Ποια συστήματα κινδυνεύουν

Τα επηρεαζόμενα περιβάλλοντα περιλαμβάνουν Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE και OpenShift. Παρότι τα κενά απαιτούν ο επιτιθέμενος να έχει ήδη κάποια πρόσβαση στο σύστημα και δεν επιτρέπουν απομακρυσμένη εκτέλεση κώδικα, είναι εξαιρετικά εύκολα στην εκμετάλλευση — ο επιτιθέμενος μπορεί να χρησιμοποιήσει Python με την τυπική βιβλιοθήκη και να αποκτήσει πρόσβαση root.

Το Dirty Frag μπορεί να αξιοποιηθεί μετά από αρχική παραβίαση μέσω SSH, εκτέλεση web shell, container escape ή παραβίαση λογαριασμού με χαμηλά δικαιώματα. Σε συστήματα χωρίς container, επιτρέπει σε τοπικό χρήστη να ανελιχθεί σε root· σε περιβάλλοντα container που εκτελούν arbitrary φορτία εργασίας τρίτων, μπορεί επιπλέον να διευκολύνει container escape.

Το Fragnesia — όπως και τα Copy Fail και Dirty Frag — αποτελεί μικρότερο κίνδυνο για σταθμούς εργασίας μεμονωμένου χρήστη ή μονόχρηστους servers, σε σύγκριση με κοινόχρηστους Linux hosts (όπου πολλοί χρήστες μοιράζονται τον πυρήνα), συστάδες container, CI runners και φαρμ παραγωγής, και λύσεις SaaS που εκτελούν κώδικα χρηστών.

Η κατάσταση με τα patches

Η Linux Kernel Organization κυκλοφόρησε patches για το CVE-2026-43284 στις 8 Μαΐου 2026. Το Dirty Frag, όπως και το Copy Fail πριν από αυτό, δίνει άμεσα πρόσβαση root σε όλες τις μεγάλες διανομές. Ο εμπαργκοτερματισμός υπεύθυνης αποκάλυψης παραβιάστηκε πριν οι διανομές προλάβουν να συντονιστούν, με αποτέλεσμα exploit να κυκλοφορεί δημόσια.

Το Copy Fail έχει ήδη καταχωριστεί στον κατάλογο Γνωστά Εκμεταλλευόμενων Ευπαθειών (Known Exploited Vulnerabilities) της Αμερικανικής Υπηρεσίας Κυβερνοασφάλειας (CISA). Μια νέα παραλλαγή, ονομαζόμενη DirtyDecrypt (ή DirtyCBC), έχει ήδη διορθωθεί στον πυρήνα Linux, με τους ερευνητές να δημοσιεύουν PoC exploit.

Ως προσωρινά μέτρα: για το Copy Fail, η απενεργοποίηση του algif_aead μειώνει την έκθεση· για το Dirty Frag και το Fragnesia, η απενεργοποίηση των esp4, esp6 και rxrpc βοηθά, αλλά τα μέτρα αυτά μπορεί να επηρεάσουν περιβάλλοντα που βασίζονται σε IPsec/VPN και RxRPC/AFS. Προειδοποίηση: η απενεργοποίηση unprivileged user namespaces μπορεί επίσης να επηρεάσει rootless containers, sandboxed browsers και Flatpak.

Το AI ως εργαλείο ανίχνευσης — και η νέα πραγματικότητα

Η εξέλιξη αυτή εντάσσεται σε μια γενικότερη τάση όπου τα κενά ασφαλείας βρίσκονται και δημοσιοποιούνται γρηγορότερα από ποτέ — και οι ειδικοί αναμένουν ότι αυτό θα συνεχιστεί, τουλάχιστον βραχυπρόθεσμα. Το ερώτημα που τίθεται στη συζήτηση της κοινότητας ασφαλείας είναι διπλό: αφενός, τα AI εργαλεία επιταχύνουν την ανεύρεση κενών που υπήρχαν χρόνια στον κώδικα· αφετέρου, ο ίδιος μηχανισμός είναι διαθέσιμος σε κακόβουλους χρήστες.

Επειδή η εκμετάλλευση απαιτεί προηγούμενη πρόσβαση στο σύστημα, οι αμυντικές ομάδες πρέπει να αντιμετωπίζουν αυτά τα κενά ως «επιταχυντές κλιμάκωσης δικαιωμάτων» και όχι ως σημεία αρχικής εισβολής. Οι ομάδες kernel και distribution kernel του Gentoo Linux κάνουν ό,τι μπορούν για να διατηρήσουν τους πυρήνες ασφαλείς, ανεβάζοντας νέες εκδόσεις το συντομότερο δυνατό και οπισθοχωρώντας επιπλέον διορθώσεις όποτε αυτές γίνονται διαθέσιμες.

Πηγές

• The Register — Dirty Frag, Copy Fail, Fragnesia: The start of a worrisome Linux security trend
• Microsoft Security Blog — Active attack: Dirty Frag Linux vulnerability
• Red Hat Security Bulletin — RHSB-2026-003 (CVE-2026-43284, CVE-2026-43500, CVE-2026-46300)
• Huntress — Panic at the Distro: CopyFail, Dirty Frag, Fragnesia
• Help Net Security — Fragnesia: New Linux kernel LPE bug (CVE-2026-46300)
• AlmaLinux Blog — Dirty Frag (CVE-2026-43284, CVE-2026-43500) Patches Released
• Gentoo Linux — Copy Fail, Dirty Frag, and Fragnesia kernel vulnerabilities
• The Hacker News — Linux Kernel Dirty Frag LPE Exploit Enables Root Access