Ozbiljna ranjivost Linux kernela omogućava krađu SSH ključeva i heša lozinki
Kritična ranjivost CVE-2026-46333 u Linux kernelu omogućava krađu SSH ključeva i heša lozinki preko race condition u ptrace mehanizmu.
Šta se desilo?
Otkrivena je kritična ranjivost u Linux kernelu, označena kao CVE-2026-46333 i nazvana "ssh-keysign-pwn", koja omogućava lokalnim napadačima da pristupe osetljivim podacima na pogođenim sistemima. Ranjivost se nalazi u logici kontrole pristupa ptrace mehanizma kernela i eksploatiše race condition do kojeg dolazi tokom gašenja privilegovanih procesa kao što su ssh-keysign ili chage.
Koga pogađa?
Ranjivost pogađa sve glavne Linux distribucije koje koriste kernele pre nego što je zakrpa objavljena 14. maja 2026. godine. To uključuje Ubuntu, Debian, Arch Linux, CentOS i Raspberry Pi OS. Posebno su ugroženi sistemi koji koriste SSH za daljinski pristup, oblačne infrastrukture i preduzeća sa složenim mrežnim okruženjima. Pošto je ranjivost postojala preko šest godina, veliki broj aktivnih instalacija može biti izložen riziku.
Kako se zaštititi?
- Odmah ažurirajte Linux kernel na verziju sa primenjenom zakrpom CVE-2026-46333
- Rotirajte sve SSH ključeve, naročito na kritičnim sistemima i serverima
- Pregledajte pristupe osetljivim datotekama poput /etc/shadow i ssh ključeva
- Monitorujte sistem za sumnjive pozive ptrace i pidfd-related sistemskih funkcija
- Ograničite pristup lokalnih korisnika gde je to moguće jer eksploatacija zahteva lokalni pristup
- Primenite najnovije sigurnosne zakrpe za sve Linux sisteme
Tehnički detalji
Ranjivost je smeštena u __ptrace_may_access() funkciji kernela koja kontroliše pristup inter-procesnom inspektovanju. Problem se javlja jer kernel neispravno primenjuje ograničenja pristupa tokom prolaznog stanja kada proces izlazi - njegovu memoriju je oslobođena (mm = NULL) ali su otvoreni file deskriptori još uvek dostupni. Tokom ovog vremenskog prozora, nepr ivilegovan lokalni napadač može koristiti pidfd_getfd() za krađu tih file deskriptora i pristup SSH privatnim ključevima ili /etc/shadow datoteci. Javno objavljen PoC na GitHub-u pokazuje da eksploatacija obično uspe nakon 100-2000 pokušaja, čineći je praktičnom za primenu u stvarnim sistemima.
Preporuka Sajber Radara
Ovo je kritična ranjivost sa visokim nivoom rizika jer omogućava pristup SSH ključevima koji se često koriste u svim mrežnim okruženjima. S obzirom da je PoC već javno dostupan, očekuje se aktivna eksploatacija. Sve organizacije moraju da prioritiziraju primenu kernel zakrpi i rotaciju SSH ključeva bez odlaganja.