Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Linux Kerne’de kritik bir kusurun bulunduğunu doğruladıktan sonra ciddi bir uyarı yayınladı.CVE-2024-1086 olarak izlenen l, dünya çapında Linux sistemlerini hedef alan devam eden fidye yazılımı saldırılarında aktif olarak kullanılıyor.
CVE-2024-1086, Linux Çekirdeğinin netfilter: nf_tables bileşeninde bulunan, serbest kullanımdan sonra kullanılabilen bir güvenlik açığıdır. Kusur o zaman ortaya çıkar nft_verdict_init() işlevi hatalı bir şekilde pozitif değerlerin kanca kararı içinde bir düşme hatası olarak kullanılmasına izin verir, bu da çift-serbest bir senaryoya yol açabilir. nf_hook_slow() NF_DROP yanlış kullanıldığında.
Hatalı kod, Şubat 2014’te uygulamaya konulan bir işlemden kaynaklansa da, güvenlik açığı 31 Ocak 2024’e kadar resmi olarak açıklanmadı. Bu sorunu gidermek için Ocak 2024’te bir yama gönderildi.
CVE-2024-1086’nın Kapsamı ve Etkisi
Linux Çekirdeği kusuru 3.15’ten 6.8-rc1’e kadar olan sürümleri etkiliyor; bu da çok çeşitli büyük Linux dağıtımlarının savunmasız olduğu anlamına geliyor. Etkilenen sistemler şunları içerir:
Ubuntu’yu: 18.04, 20.04, 22.04 ve 23.10
Red Hat Kurumsal Linux (RHEL):
- RHEL 7 – 3.10.0-1062.4.1.el7
- RHEL 8 – 4.18.0-147.el8
- RHEL 9 – 5.14.0-362.24.2.el9_3
Debian: çekirdek sürümü 6.1.76-1
CVE-2024-1086’nın kötüye kullanılması, yerel erişime sahip saldırganların ayrıcalıklarını kök düzeyine yükseltmesine olanak tanır ve güvenliği ihlal edilmiş sistemler üzerinde tam kontrol sağlar. Kök erişimiyle tehdit aktörleri güvenlik korumalarını devre dışı bırakabilir, kötü amaçlı yazılım yükleyebilir, ağ içinde yatay olarak hareket edebilir, verileri çalabilir ve fidye yazılımı yüklerini dağıtabilir.
Fidye Yazılımı Bağlantısı ve Ajans Eylemi
CISA artık CVE-2024-1086’nın fidye yazılımı saldırılarında kullanıldığını doğruladı. Güvenlik açığı ilk olarak 30 Mayıs 2024’te ajansın Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna eklendi ve federal kurumlara en geç 20 Haziran 2024’e kadar güvenlik yamaları veya azaltıcı önlemler uygulamaları talimatı verildi.
CISA, resmi açıklamasında bu Linux Çekirdeği kusurunu “kötü niyetli siber aktörler için sık görülen bir saldırı vektörü” olarak tanımladı ve bunun hükümet ve kurumsal ağlar için oluşturduğu önemli riskleri vurguladı. Kurumlara ve kuruluşlara, herhangi bir düzeltme mevcut değilse, etkilenen ürünlere yama uygulamak veya bunların kullanımını durdurmak için satıcının talimatlarını takip etmeleri talimatı verilmiştir.
Erişilebilirlikten ve Tehdit Ortamından Yararlanma
Mart 2024’ün sonlarında bir güvenlik araştırmacısı şunları kullanıyor: Notselwyn takma adı, CVE-2024-1086 için ayrıntılı bir yazı ve kavram kanıtlama (PoC) istismarı yayınladı. PoC, saldırganların 5.14 ila 6.6 arasındaki Linux çekirdek sürümlerinde yerel ayrıcalık yükseltmeyi nasıl başarabileceklerini gösterdi.
Güvenlik araştırmacılarına göre bu istismarın son derece güvenilir olduğu kanıtlandı ve bazı testlerde %99’u aşan başarı oranları görüldü. Bu yararlanma kodunun halka açık olması, fidye yazılımı operasyonlarında onaylanmış kullanımıyla birleştiğinde, yaygın saldırı riskini önemli ölçüde artırıyor.
Azaltma ve Önerilen Eylemler
Sistem yöneticilerinin, Linux kurulumlarının etkilenip etkilenmediğini derhal doğrulamaları tavsiye edilir. Komutu çalıştırma uname -r kullanılan çekirdek sürümünü ortaya çıkaracaktır. Sürüm 3.15 ile 6.8-rc1 arasındaysa sistem yine de savunmasız olabilir.
İstismara karşı korunmak için:
- Linux Çekirdeği 6.8-rc2 veya sonraki bir sürüme güncelleyin veya satıcı tarafından sağlanan yamaları uygulayın.
- Engellenenler listesi nf_tables gerekli değilse modül.
- Saldırı yüzeyini en aza indirmek için kullanıcı ad alanlarına erişimi kısıtlayın.
- Çalışma zamanı koruması eklemek için Linux Çekirdek Çalışma Zamanı Koruması (LKRG) modülünü yüklemeyi düşünün; ancak yöneticilerin bunun sistem kararlılığını etkileyebileceğinin farkında olması gerekir.