.webp "Linux Çekirdeği Ayrıcalık Yükseltme Kusuru için PoC Açıklarından Yararlanma Yayınlandı")
Linux çekirdeğinin netfilter alt sisteminde kritik bir kullanım sonrası serbest bırakma güvenlik açığı keşfedildi.
Bu güvenlik açığı, CAP_NET_ADMIN yeteneğine sahip yerel, ayrıcalıksız kullanıcıların ayrıcalıklarını artırmasına olanak tanıyabilir.
Yukarı akış işlemi 5f68718b34a5’te tanımlanan kusur (“netfilter: nf_tables: kontrol düzlemiyle yarışı önlemek için GC işlem API’si”), yakalama öğesi çöp olduğunda bir NFT_CHAIN nesnesinde veya NFT_OBJECT nesnesinde serbest kullanımdan sonra kullanım sorununa neden olabilir. pipapo setinin çıkarılması sırasında toplandı.
CVE-2024-0193 – Ücretsiz Kullanım Sonrası Güvenlik Açığı
Bu güvenlik açığı, Red Hat Enterprise Linux (RHEL) 6, 7 ve 8’in gönderilen çekirdek sürümlerini etkilemiyor.
Ancak yerel, ayrıcalığı olmayan kullanıcılar, kendilerine CAP_NET_ADMIN yeteneği kazandırmak için ayrıcalıksız kullanıcı ad alanlarından (CONFIG_USER_NS) yararlanabilirler ve bu kusurdan yararlanma potansiyeline sahiptirler.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Red Hat Enterprise Linux CoreOS (RHCOS) tabanlı OpenShift Konteyner Platformu (OCP) da etkilendi.
Ancak RHCOS’un doğası gereği, yerel kullanıcıların zaten kök izinlerine sahip olması nedeniyle, bu güvenlik açığı bir saldırgan açısından önemli bir tehdit oluşturmuyor.
Azaltma Stratejileri
Bu güvenlik açığını azaltmak için kullanıcı/net ad alanları oluşturma yeteneğinin kontrol edilmesi önemlidir.
Red Hat Enterprise Linux 8’in kapsayıcıya alınmamış dağıtımları için kullanıcı ad alanları ayarlanarak devre dışı bırakılabilir user.max_user_namespaces 0’a:
# echo "user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf
# sysctl -p /etc/sysctl.d/userns.conf
Red Hat OpenShift Konteyner Platformu gibi konteynerli dağıtımlar için, işlevselliğin etkin kalması gerektiğinden bu azaltım uygulanmamalıdır.
Bu Linux çekirdeği ayrıcalığı yükseltme kusuruna yönelik yeni yayınlanan kavram kanıtlama açığı endişe verici olsa da, Red Hat Enterprise Linux ve OpenShift ortamları üzerindeki etkisi, mevcut izinler ve ad alanı yapılandırmaları nedeniyle sınırlı kalıyor.
Yöneticilere, sistemlerini olası kötüye kullanıma karşı korumak için önerilen azaltıcı önlemleri uygulamaları önerilir.
Ayrıntılı bir analiz ve daha fazla bilgi için konteyner güvenlik açığı risk değerlendirmesiyle ilgili Red Hat blog gönderisine bakın.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files