ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), resmi olarak CVE-2023-0386 olarak listelenen kritik bir Linux çekirdek güvenlik açığının aktif olarak kullanılması konusunda uyarıyor.
7.8 CVSS puanı taşıyan güvenlik açığı, bir Linux çekirdek ayrıcalık artış kusuru olarak kategorize edilir. Linux çekirdeğinin Overlayfs alt sisteminde uygunsuz sahiplik yönetiminden kaynaklanmaktadır. Başarılı bir şekilde sömürülürse, saldırganlar etkilenen sistemlerde ayrıcalıkları artırabilir, yetkisiz erişim kazanabilir ve potansiyel olarak yüksek haklarla keyfi kod yürütebilir.
CVE-2023-0386 Güvenlik Açığının Arızası
CVE-2023-0386, 2023’ün başlarında tanımlandı ve yamalandı. Kusur, bir kullanıcı nosuid bir montajdan daha yüksek özelliklere sahip bir dosyayı başka bir montaja kopyaladığında ortaya çıkar. CISA uyarısına göre, “Linux çekirdeği, SetUid dosyasının yeteneklerle yürütülmesine yetkisiz erişimin bulunduğu uygunsuz bir sahiplik yönetimi kırılganlığı içeriyor… bir kullanıcının nosuid bir montajdan başka bir montaja nasıl kopyalandığında.”
Güvenlik açığı, Linux çekirdeğine iyi bilinen bir katkıda bulunan Miklos Szeriedi tarafından açıklandı ve yamalandı. Kusura değinen özel taahhüt (taahhüt kimliği: 4F11ADA10D0AD3FD53E2BD67806351DE63A4F9C3) 27 Ocak 2023’te yapıldı. Szeride, kullanıcı kimliği (UID) veya GRO olduğunda kopyalama işlemlerini reddetmenin önemini kaydettiUP ID (GID), kullanıcı ad alanında uygun eşlemeden yoksundur. Bu yama, geçersiz UID/GID eşlemeleri tespit edildiğinde başarısız işlemleri arızalanan POSIX ACL’leri ile tutarlılık sağlar.
Teknik bilgiler
Güvenlik açığı, Overlayfs alt sisteminde, özellikle işlevde bulunur ovl_copy_up_one. Etkilenen Linux çekirdeğinde Versi6.2-rc6’dan önce, uygun kontrol eksikliği geçersiz UID/GID eşlemelerinin kullanılmasına izin verir. Yama notlarına göre, eğer st_uid veya ST_GID Montaj kullanıcı ad alanında geçerli bir eşlemeye sahip değilse, kopyalama işlemi başarısız olmalı ve standart Linux araçlarının davranışını yansıtmalıdır CP -A.
Nerede nerede CP-A Geçerli bir eşleme bulunmadığında kullanılan 65534’ün varsayılan bir geri dönüş UID/GID’si nedeniyle bir kopya başarısız olduğunda bile başarılı olabilir. Bu tutarsızlık, kusur yamalı olmadıkça saldırganlar tarafından istismar edilebilir.
CISA’nın bilinen sömürülen güvenlik açıkları kataloğuna CVE-2023-0386’yı dahil etme kararı, tehdit aktörlerinin bu kusuru siber saldırılarda aktif olarak kullandığını doğrulamaktadır. Ayrıcalık artış güvenlik açıkları, katı ayrıcalık sınırlarının kritik olduğu çok kullanıcı ortamlarda, kaplarda ve bulut tabanlı iş yüklerinde özellikle tehlikelidir.
Endüstri Müdahalesi ve NetApp Danışmanlığı
Önde gelen teknoloji şirketleri, çeşitli ürün hatları üzerindeki etkiyi detaylandıran danışmanlığını (NTAP-20230420-0004) yayınlayan NetApp da dahil olmak üzere kusura yanıt verdi. NetApp, Linux çekirdeğinin savunmasız sürümlerini kullanarak birden fazla ürünü tanımladı ve sömürünün veri açıklaması, veri değiştirme veya hizmet reddi (DOS) ile sonuçlanabileceğini doğruladı.
Etkilenen sistemler şunları içerir:
- NetApp HCI süpürgelik yönetim denetleyicileri (H300S, H500S, H700S, H410S, H410C)
- 6.2-rc6’dan önce Linux çekirdek sürümlerini içeren diğer ürünler
NetApp, 2023 danışmanında etkilenen ve etkilenmemiş ürünlerin tam bir listesini yayınladı ve yazılım güncellemelerinin destek portalı aracılığıyla sunulacağını doğruladı. En son güncelleme itibariyle, doğrudan yama ihtiyacını gösteren mevcut geçici çözümler yoktur.
Azaltma ve öneriler
Sistem yöneticileri ve güvenlik profesyonelleri şunları almaya çağırılır:
- CVE-2023-0386 yamasının mevcut olduğundan emin olmak için Linux çekirdek 6.2-rc6 veya üstüne güncelleme.
- Özellikle kaplı veya çok kullanıcı ortamlarda olağandışı ayrıcalık yükseklik davranışı için sistemleri izleyin.
İstismarın teknik karmaşıklığı nispeten düşüktür, yerel erişim gerektirir, ancak kullanıcı etkileşimi gerektirmez ve CVSS: L/AC: L/PR: L/UI: N/S: U/C: H/I: H/A: H’nin bir vektörü atanmıştır ve bu da yüksek hasar potansiyelini gösterir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.