Linux Çekirdeği Kullanımdan Arık Güvenlik Açığı için piyasaya sürülen POC istismar

   Mart 18, 2025  Posted in GBHackers


CVE-2024-36904 olarak tanımlanan Linux çekirdeğinde kullanılmayan bir güvenlik açığı için bir kavram kanıtı (POC) istismarı yayınlanmıştır.

Bu güvenlik açığı, Linux çekirdeğinin TCP alt sisteminde bulunur ve referans sayacını ayarlamadan önce zaman-bant soketini yerleşik hash tablosuna yerleştiren INET_TWSK_HASHDANCE () işlevinden kaynaklanır.

CVE Genel Bakış

CVE-2024-36904, bir saldırganın potansiyel olarak keyfi kod yürütülmesine veya hizmet reddi saldırılarına yol açabilecek bir kullanımdan sonraki kullanım durumundan yararlanmasına izin vererek Linux çekirdeğini etkiler.

Güvenlik açığı, Kasan (çekirdek adres dezenfektanı) ile değiştirilmiş bir çekirdek oluşturmayı içeren bir soruşturma sırasında keşfedildi.

Etkilenen sistemler

Güvenlik açığı, çekirdek sürüm 5.14.0-362.24.2.2.2.eL9_3.x86_64 ile ALMA Linux 9 çalıştıran sistemler üzerinde test edildi, ancak Linux çekirdeğinin diğer sürümlerinin de yamalı olmadıkları takdirde etkilenmesi muhtemeldir.

Güvenlik açığı, 16 Temmuz 2024 itibariyle Çekirdek sürüm 5.14-427.26.1’de Red Hat Enterprise Linux 9’da sabitlendi.

Kavram Kanıtı (POC) Kodu

Güvenlik açığını test etmek isteyenler için, CVE-2024-36904-tetikleyici adlı bir POC istismarı mevcuttur.

Güvenlik açığını Kasan etkinken test etmek için, çekirdeğe bir yama uygulamanız ve ardından oluşturmanız gerekir. Yamayı uygulamak için adımlar:

  1. Gerekli paketleri yükleyin:
    Çekirdeği oluşturmak için Flex, Bison, Elfutils-Libelf-Devel, OpenSSL-Devel, BC, Perl ve Cüce’ye ihtiyacınız olacak.
  2. Yamayı uygulayın:
cd kernels/linux-5.14.0-362.24.1.el9_3/

patch -n1 < ../mdelay_remove_rcu_flag.patch
  1. Çekirdeği inşa edin:
cp ../linux-5.14.0-362.24.1.el9_3-RESEARCH-KASAN/.config .config

make oldconfig

make -j `nproc`

make -j `nproc` modules_install install

Running the Trigger

Tetikleyiciyi çalıştırmak ve değiştirilmiş çekirdeği kullanırken Kasan Splat'ı gözlemlemek için aşağıdaki komutu bir döngüde yürütün:

while true; do ./CVE-2024-36904-trigger; done

Bu komut, değiştirilmiş çekirdeğini kullanırken kısa bir süre içinde Kasan Splat'ın çekirdek halka arabelleğinde görünmesine neden olması gereken tetiği sürekli olarak yürütecektir.

CVE-2024-36904, Linux çekirdeği güvenlik açıklarının zamanında yama ve test edilmesinin önemini vurgular.

Linux dağıtımları bu tür güvenlik açıklarını ele almak için çekirdeklerini güncellemeye devam ettikçe, sisteminizin güncellenmesinin güvenliği korumak için çok önemlidir.

Kullanıcılar ve kuruluşlar, bu ve diğer güvenlik açıklarını hedefleyen istismarlara karşı korumak için Linux çekirdeklerini güncel tutmalıdır.

Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.



Source link