Çok ana hatlı Linux cihazlarda kritik bir güvenlik açığı keşfedildi. Saldırganların, harici veya genel bir arayüz aracılığıyla paketleri dahili iletişim akışlarına taklit etmesine ve enjekte etmesine olanak tanır.
Güvenlik araştırmacıları, çeşitli değerlendirmeler sırasında kusuru ortaya çıkardı ve bu kusurdan birçok kez başarıyla yararlanıldı.
Sorun, çok bağlantılı Linux aygıtları ile Linux’un durum bilgisi olan güvenlik duvarını (bağlantı modülü) kullanan ortak güvenlik duvarı yapılandırmaları arasındaki etkileşimlerden kaynaklanmaktadır.
Durum bilgisi olan güvenlik duvarı için bağlantıları izleyen conntrack modülü, bağlantının kurulduğu arayüzü hesaba katmaz.
Sonuç olarak, kurulu ve ilgili bağlantılara izin veren tipik bir güvenlik duvarı kuralı, yalnızca harici ana bilgisayarlara yönlendirilen bağlantılara değil, tüm bağlantılara uygulanır.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide (PDF)
Bu, harici arayüzdeki bir saldırganın, kurulu bir dahili bağlantıyla aynı IP adresini ve bağlantı noktalarını paylaşmaları durumunda, paketleri sahtekarlık yapmasına ve dahili trafik akışlarına eklemesine olanak tanır.
Potansiyel Olarak Etkilenen Geniş Cihaz Yelpazesi
Güvenlik açığı, birden çok ağa bağlı tüm çok bağlantılı Linux aygıtları için geçerlidir. Bu, yalnızca NAT yönlendiricileri gibi bariz hedefleri değil, aynı zamanda sanal makineler, VPN sunucuları, yerleşik cihazlar, otomotiv sistemleri ve dronları çalıştıran Linux ana bilgisayarlarını da içerir.
Sahteciliğe karşı güvenlik duvarı kurallarına sahip olmayan, birden fazla arayüze sahip herhangi bir Linux sistemi muhtemelen savunmasızdır.
Araştırmacılar bu güvenlik açığından başarıyla yararlanarak şunları sağladı:
- Otonom bir araçtaki Lidar akışına veri enjekte etme
- NAT yönlendiricisinde dinamik bağlantı noktası eşlemeleri oluşturmak için NAT-PMP/PCP paketlerini taklit edin
- Sahte mDNS yanıtları
- Bir NAT yönlendiricisinin arkasındaki iki dahili ana bilgisayar arasındaki iletişime paket ekleme
Araştırmacılar tarafından yayınlanan bir video, Lidar verilerinin akışa paketler enjekte edilerek bozulduğunu gösteriyor.
Güvenlik açığından yararlanmanın bazı sınırlamaları vardır:
- Saldırganın, genellikle özel IP aralıklarından gelen dahili trafiği harici arayüze yönlendirebilmesi gerekir.
- Bağlantı noktaları ve sıra numaraları gibi parametrelerin bazı kör enjeksiyonu veya kaba zorlaması genellikle gereklidir
- Sıra numaralarından dolayı TCP bağlantılarına enjeksiyon yapmak UDP’den daha zordur
Ancak bu sınırlamalara rağmen araştırmacılar, çeşitli senaryolarda kritik veri akışlarını yanıltmak için bu kusurdan başarıyla yararlandı.
Güvenlik açığını azaltmak için araştırmacılar şunları önermektedir:
- Sahte dahili IP adreslerine sahip paketleri harici arayüzlere bırakmak için sahteciliğe karşı güvenlik duvarı kuralları uygulama
- Hizmetleri yalnızca amaçlanan dahili arabirimlerdeki paketleri alacak şekilde kısıtlamak için SO_BINDTODEVICE yuva seçeneğini kullanma
Ayrıca, kaynak kodunun bulunmadığı harici yazılımlar için bile soketlerin belirli arayüzlere bağlanmasına yardımcı olacak bir LD_PRELOAD sarmalayıcı aracı da yayınladılar.
Linux yöneticilerine, güvenlik duvarı yapılandırmalarını gözden geçirmeleri ve çok bağlantılı aygıtları bu paket yanıltma ve ekleme güvenlik açığından korumak için önerilen azaltıcı önlemleri uygulamaları önerilir.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here