CVE-2025-21756 olarak izlenen ve “Vsock’un Saldırısı” olarak adlandırılan Linux çekirdeğinde yeni açıklanan bir güvenlik açığı, siber güvenlik topluluğundan dalgalanmalar gönderdi.
Kusur, saldırganların kökten ayrıcalıkları artırmasını sağlar ve etkilenen Linux sistemleri üzerinde potansiyel olarak tam kontrol edinir.
Hoefler raporuna göre, araştırmacılar sömürünün uygulanabilir olduğu ve gerçek dünya koşullarında gösterildiği ve milyonlarca sistemi riske attığı konusunda uyarıyorlar.
.png
)
CVE-2025-21756’yı Anlama
Bu kritik güvenlik açığı, Linux çekirdeğinin VSock (sanal soket) alt sistemini, özellikle VMware VSock sürücüsü (net/vmw_vsock/af_vsock.c) içinde uygulanmasında yatmaktadır.
VSocks, Bulut ve Sanallaştırma Platformlarında yaygın bir özellik olan Sanal Makine İletişimi için kullanılır.
Kusur, vsock soketlerinin taşıma yeniden atanması sırasında referans sayımındaki bir hatadan kaynaklanır.
Sorunu ele alan çekirdek yaması, bağlanmanın yalnızca belirli koşullar altında kaldırıldığından emin olmak için vSock_remove_sock () işlevini değiştirir ve referans sayacın yanlış azaltılmasını önler:
void vsock_remove_sock(struct vsock_sock *vsk)
{
/* Transport reassignment must not remove the binding. */
if (sock_flag(sk_vsock(vsk), SOCK_DEAD))
vsock_remove_bound(vsk);
vsock_remove_connected(vsk);
}Yamadan önce, vsock nesneleri referans sayısının hatalı bir şekilde sıfıra düşürülmesi ve kullanılmayan (UAF) güvenlik açığı olarak bilinen şeye yol açabilir.
Saldırganlar, serbest çekirdek belleğinin kontrolünü ele geçirmek için bunu kullanabilir ve çekirdek ayrıcalıklarıyla keyfi kod yürütülmesine izin verir.
Saldırganlar CVE-2025-21756’dan nasıl yararlanabilir?
Araştırmalar, güvenlik açığının sadece teorik olmadığını ortaya koymaktadır. Aşağıdaki saldırı zincirini gösteren ayrıntılı bir kavram kanıtı yayınlanmıştır:
- Tetikleyici Kullanımı Tetikler: Saldırganlar, vsock soketlerini manipüle ederek ve belirli bağlantı girişimlerini tetikleyerek, çekirdeği bir Vsock nesnesini erken serbest bırakmaya zorlayabilir.
- Hafıza Islahı: Saldırgan, serbest belleği kötü niyetli, kullanıcı kontrollü verilerle (boru veya mesaj spreyleri gibi teknikler kullanarak) geri alır.
- Sızıntı çekirdeği adresleri: Standart güvenlik modülleri (örn. Apparm) tarafından korunmayan vSock_diag_dump gibi özellikleri kullanan saldırganlar, çekirdek adresi adresi adresi adresi boşluk ve sızdırabilir.
- Kaçım Kontrol Akışı: Sahte çekirdek yapıları hazırlayarak saldırgan, yürütmeyi ayrıcalıklı bir eğitim zincirine yönlendirir ve sonuçta kök erişimi kazanır.
Azaltma ve öneriler
- Hemen Yama: Linux dağıtımları, korunmuş tüm şubeler için mevcut yamalar ile güvenlik danışmanları yayınlamıştır. CVE-2025-21756’ya karşı savunmasız çekirdek sürümlerini çalıştıran sistemleri güncellemek önemlidir.
- Vsock kullanımını kısıtlayın: Mümkünse, özellikle paylaşılan veya çok kiracılı ortamlarda VSOCK özelliklerini devre dışı bırakın veya kısıtlayın.
- Şüpheli Etkinlik Monitörü: VSOCK ile ilgili operasyonların ve çekirdek kazalarının artan izlenmesi, sömürü girişimlerinin tespit edilmesine yardımcı olabilir.
- Güvenlik modüllerini inceleyin: Bazı istismar yolları bunları atlayabilmesine rağmen, Apparmor ve Selinux gibi güvenlik modüllerinin doğru yapılandırıldığından emin olun.
Linux’u çalıştıran sanallaştırılmış ortamların yaygın kullanımı göz önüne alındığında, kusurun geniş kapsamlı etkileri vardır.
Bulut sağlayıcıları, işletme BT ve konteyner platformlarının maruz kalmalarını değerlendirmeleri ve düzeltmeleri derhal uygulamaya istenir.
İstismar geliştiren güvenlik araştırmacısı “Midas”, Kernelctf gönderimlerindeki hatayı keşfettikten sonra süreci kapsamlı bir yazımda tanımladı.
İlk yama analizinden başarılı ayrıcalık artışına yolculuk, uyanık çekirdek güvenlik uygulamalarının öneminin altını çizmektedir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!