Представлен публике публичный инициатива ModuleJail для автоматического внесения в чёрный список неиспользуемых модулей ядра Linux

Разработчик Джаспер Нюйенс (системный администратор Linux и хакер систем Tesla из Бельгии) представил публичный проект ModuleJail для автоматического внесения в чёрный список неиспользуемых модулей ядра Linux. Подход даёт возможность в автоматическом режиме обезопасить систему от волны уязвимостей для повышения привилегий.

Нюйенс решил, что это плохая идея вручную вносить в чёрный список десятков или даже сотен малоизвестных модулей ядра в больших парках систем Linux в ближайшем будущем. Поэтому он написал ModuleJail, скрипт на shell с лицензией GPLv3, который сканирует работающую систему Linux и автоматически вносит в чёрный список неиспользуемые модули ядра, уменьшая поверхность атаки ядра без необходимости перезагрузки.

Идея проста: многие современные уязвимости повышения привилегий в Linux нацелены на малоизвестные или редко используемые функции ядра, которые по-прежнему включены по умолчанию на серверах, которым они практически не нужны. ModuleJail работает в основных дистрибутивах, в том числе Debian, Ubuntu, RHEL, Fedora, AlmaLinux и Arch Linux, генерируя один файл правил чёрного списка modprobe, сохраняя одновременно часто используемые модули.

Отдельной предлагается скрипт cve-watch.sh, осуществляющий мониториг списка рассылки linux-cve-announce и REST api nvd.nist.gov на предмет обнаружения уязвимостей в незаблокированных модулях ядра. Как правило CVE-идентификаторы уязвимостей раскрываются раньше устранения проблемы в дистрибутивах, что даёт возможность на ранних стадиях блокировать проблемы обходным путём.

Ранее после обнародования информации о LPE-уязвимости (10 строк кода на Python) Copy Fail в Linux — root на Linux в один клик, Copy Fail 2: Electric Boogaloo и Dirty Frag: Universal Linux LPE, исследователи по ИБ нашли ещё одну уязвимость в Linux под названием Fragnesia (CVE-2026-46300) или Copy Fail 3.0. С помощью этой уязвимости непривилегированный локальный потребитель может получить доступ к системе уровня root. В открытом доступе обнародован рабочий эксплойт и готовятся патчи для разных дистрибутивов Linux.