Bir araştırmacı, tüm GNU/Linux sistemlerini etkileyen, saldırganların savunmasız cihazların kontrolünü ele geçirmesine olanak tanıyan, 9.9 dereceli on yıllık bir güvenlik açığı bulduğunu iddia ediyor. Kusur araştırılıyor ve tam açıklamanın gelecek hafta yapılması bekleniyor.
Siber güvenlik araştırmacısı ve Linux geliştiricisi Simone Margaritelli, saldırganların savunmasız sistemlerin tam kontrolünü ele geçirmesine olanak verebilecek kritik bir Linux güvenlik açığı keşfetti. Bu Linux güvenlik açığı GNU/Linux sistemlerini, özellikle de Linux Uzaktan kod yürütmeyi etkiliyor. Doğrulanması durumunda tarihteki en kötü güvenlik açıklarından biri olabilir.
On Yıllık Bir Kusur:
On yılı aşkın bir süredir mevcut olduğu bildirilen güvenlik açığı, tüm GNU/Linux sistemlerini etkiliyor. Belirli ayrıntılar gizli kalsa da, Canonical ve Red Hat gibi önde gelen Linux dağıtımcıları tarafından onaylanan 10 üzerinden 9,9 önem derecesi puanı, kötüye kullanılması durumunda büyük hasar potansiyeline işaret ediyor.
Tartışma:
Sorunun ciddiyetine rağmen henüz Ortak Güvenlik Açıkları ve Etkilenme (CVE) tanımlayıcıları atanmadı ve geliştiriciler hala güvenlik açığının belirli yönlerinin güvenlik riski oluşturup oluşturmadığını tartışıyor. Bu anlaşmazlık, sorunun çözümünde gecikmelere yol açtı ve güvenlik araştırmacıları arasında hayal kırıklığına neden oldu.
Margaritelli, açıklamanın ele alınmasıyla ilgili hayal kırıklığını kamuoyuna açıkladı. Kavram kanıtı istismarları sağladığını iddia ediyor, ancak geliştiriciler bir çözüm üzerinde çalışmaktan ziyade güvenlik açığının etkisini tartışmaya daha çok odaklandılar.
Bu nedenle kusurun tamamen ifşa edilmesi yerine sorumlu bir şekilde ifşa edilmemeye karar verdi. Kararı düzeltme yarışını hızlandırabilir ancak aynı zamanda hızlı bir karşı önlem alınmazsa milyonlarca Linux sistemini kötü niyetli saldırılara maruz bırakabilir.
Bilginiz olsun, Simone Margaritelli, diğer adıyla evilsocket, dünya çapındaki profesyoneller ve araştırmacılar için çok sayıda araç geliştiren tanınmış bir siber güvenlik uzmanıdır. En dikkate değer katkılarından biri, Ortadaki Adam (MITM) hack saldırıları ve ağ sızma testleri için tasarlanmış açık kaynaklı bir araç olan Bettercap’tir.
Güvenlik açığı, OpenSSH gibi bilinen açık hizmetleri ve muhtemelen Net Filter gibi filtreleme hizmetlerini etkileyebilir, ancak hangi hizmetin etkilendiğine dair bir gösterge yoktur ve bunlar yalnızca hipotezdir.
En son güncellemelere göre, kusur ilk olarak 30 Eylül’de Openwall güvenlik posta listesine açıklanacak, ardından 6 Ekim’de tam olarak kamuya açıklanacak. Linux kullanıcılarının, yamalar hazır olur olmaz resmi güncellemeler ve yama sistemleri hakkında bilgi sahibi olmaları tavsiye edilir.
* Kimliği doğrulanmamış RCE ile tüm GNU/Linux sistemleri (artı diğerleri) 3 hafta önce açıklandı.
* Tam açıklama 2 haftadan daha kısa bir sürede gerçekleşir (geliştiricilerle mutabakata varıldığı üzere).
* Hala atanan bir CVE yok (en az 3, muhtemelen 4, ideal olarak 6 olmalıdır).
* Hala çalışan bir düzeltme yok.
* Kanonik, RedHat ve… pic.twitter.com/N2d1rm2VeR— Simone Margaritelli (@evilsocket) 23 Eylül 2024
Yazılım güvenliği platformu Sonatype’in CTO’su ve Açık Kaynak Güvenlik Vakfı’nın yönetim kurulu üyesi Brian Fox, bu güvenlik açığı ile güvenlik açığı arasında benzerlikler buldu. Log4j/Log4Shell güvenlik açığı (CVE-2021-44228). Fox, sorunun ciddiyetini ve olası hafifletme yöntemlerini anlamak için Sonatype’in araştırma ekibi ve açık kaynak güvenlik topluluğuyla yakın işbirliği içinde çalışıyor.
“Henüz teknik ayrıntılara sahip olmasak da, 9.9 CVSS’ye sahip bir güvenlik açığı, istismar edilmesinin düşük karmaşıklığa sahip olduğunu gösteriyor ve işaretler, sistemin merkezinde mevcut olan kusura işaret ediyor. Bunun Linux olduğu göz önüne alındığında, bu güvenlik açığının kapsamı çok büyüktür ve başarılı bir şekilde kullanılması yıkıcı olabilir – Wi-Fi yönlendiricinizden ışıkları açık tutan şebekeye kadar her şey Linux’ta çalışır,” diye açıkladı Brain.
Ayrıca şunu ekledi: “Düşük karmaşıklık ve yüksek kullanımın bu kombinasyonu Log4Shell’i anımsatıyor, ancak buradaki kullanım ölçeği çok daha önemli. Bu güvenlik açığının bulunması ve düzeltilmesi zaman alacağından, ifşanın aşamalı olarak kaldırılmasının mantığını anlıyorum, ancak aynı zamanda tehdit aktörlerinin taahhüt geçmişini incelemesini ve istismar edilecek ipuçları aramasını da beklemeliyiz.”
“Daha fazla ayrıntının ortaya çıkmasını beklerken, kurumsal güvenlik ekiplerinin, nerede savunmasız olabileceklerini anlamak ve yama yapmaya hazır olmak için ortamlarını ve SBOM’larını incelemeleri gerekiyor. Brian, tatillerinizi iptal edin çünkü 6 Ekim’de saldırganlara karşı bir yarış olabilir” diye vurguladı.
İLGİLİ KONULAR
- Telegram Kontrollü TgRat Truva Atı Linux Sunucularını Hedefliyor
- GNU C Kütüphanesinde Kritik Kusurlar Bulundu, Başlıca Linux Dağıtımları Risk Altında
- Goldoon Botnet, 9 Yıllık Bir Kusuru İstismar Ederek D-Link Cihazlarını Ele Geçiriyor
- 9 yaşındaki Windows kusuru, 111 ülkede ZLoader kötü amaçlı yazılımını düşürdü
- 7 Yaşındaki 0 Günlük Microsoft Office’te Kobalt Saldırısını Düşürmek İçin İstismar Edildi