Linux çekirdeğinin IP setleri çerçevesindeki yeni keşfedilen bir güvenlik açığı olan CVE-2024-53141, yerel saldırganların ayrıcalıkları artırmasına ve potansiyel olarak kök erişimi kazanmasına olanak tanıyan kritik bir güvenlik kusuru ortaya çıkardı.
Araştırmacılar ST424204 ve D4EM0N tarafından ortaya çıkarılan 7.8 CVSS skoru atanan güvenlik açığı, özellikle NetFilter alt sistemindeki BitMap: IP set türünü etkiler.
Linux Çekirdek IP Setleri Güvenlik Açığı-CVE-2024-53141
Kusur, TB olduğunda ipset_attr_cidr parametrelerinin yanlış kullanımı[IPSET_ATTR_IP_TO] mevcut değil.
.png
)
“Ne zaman TB[IPSET_ATTR_IP_TO] mevcut değil TB[IPSET_ATTR_CIDR] Var, IP ve IP_TO değerleri biraz değiştirilir. Bu nedenle, IP aralığı kontrolü daha sonra yapılmalıdır, ancak bu bölüm eksiktir ”diye açıklıyor Ubuntu Güvenlik Danışmanlığı.
Sömürü yolu
Güvenlik sonuçları şiddetlidir. Araştırmacıların deposunda belgelenen istismar zinciri, saldırganların bu kusuru nasıl elde edebileceğini göstermektedir:
- Bounds dışı, çekirdek yığınına erişim yazar ve adres sızıntısı sağlar.
- Keyfi değer yazma, tahsis edilen bellek sınırları.
- Sınır dışı koşulların kullanılmayan güvenlik açıklarına dönüştürülmesi.
- Çekirdek adres alanı düzeni randomizasyonu (kaslr) bypass.
- Çekirdek yürütme akışının saldırgan kontrollü koda yeniden yönlendirilmesi.
İstismar kodu özellikle Net/NetFilter/Ipset/ipset/ipset/ipset/ipset/ipset/ipset uygulamasını hedefler;
POC istismarı birkaç gelişmiş ilkeden yararlanır:
- Yığın Adresi Sızıntısı: IP_SET_INIT_COMMENT’teki yorum uzantısından yararlanarak, saldırganlar bitişik bellek parçalarından çekirdek yığın adreslerini sızdırabilir.
- Keyfi OOB yazma: IP_SET_INIT_COUNTER’taki sayaç uzantısını kullanan saldırganlar, tahsis edilen sınırların dışında kontrollü değerler yazabilir.
- Ardından Kullanım: MSG_MSGSEG yapılarını manipüle ederek, OOB yazıları UAF’lere dönüştürülür ve daha fazla sömürü sağlar.
- Kaslr Bypass: İstismar, sızıntı çekirdeği metin adreslerini ve çekirdek adresi alan düzeni randomizasyonunu yenmek için yığın püskürtme ve nesne yeniden tahsisini kullanır.
- RIP Kontrolü ve ROP zinciri yürütme: Hassas yığın manipülasyonu yoluyla, saldırgan talimat işaretçisinin (RIP) kontrolünü kazanır ve yürütmeyi Core_patern çekirdek değişkeninin üzerine yazan hazırlanmış bir ROP zincirine yönlendirir ve sonuçta bir kök kabuğunu ortaya çıkarır.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Linux Çekirdek Sürümleri 2.6.39 ila 4.19.325, 6.6.64, 6.11.11 ve 6.12.2 (yamalı versiyonlar hariç) |
| Darbe | İmtiyaz yükseltme, çekirdek seviyesi kod yürütme, Kaslr baypas, yığın bellek yolsuzluğu ve kök kabuk erişimi. |
| Önkoşuldan istismar | Düşük ayrıcalıklarla yerel erişim (CVSS: 3.1/PR: L). Suse, yüksek ayrıcalıklar gerektiren oranlar (PR: H |
| CVSS 3.1 puanı | 7.8 (Yüksek) |
Etkilenen versiyonlar ve iyileştirme
Güvenlik açığı, 4.19.325, 6.6.64, 6.11.11 ve 6.12.2’den önceki sürümlere 2,6.39’dan sürümleri etkiler. Depodaki istismar kodu özellikle Linux çekirdeğini 6.6.62’yi hedefler.
Güvenlik uzmanları, en etkili hafifletme olarak hemen yama yapmayı önerir. Bitmap_ip_uadt işlevine uygun aralık kontrolleri ekleyen düzeltme, Linux çekirdeklerine 4.19.325, 6.6.64, 6.11.11, 6.12.2 ve daha sonra dahil edilmiştir.
Güvenlik danışmanlığı, “Bu güvenlik açığı, tehdit aktörlerine nihayetinde ayrıcalık artışına, Kaslr bypass’a ve tam çekirdek düzeyinde kod yürütmesine yol açabilecek güçlü bir istismar zinciri sunuyor” diyor.
Sistem yöneticilerine etkilenen sistemleri hemen güncellemeleri tavsiye edilir, çünkü istismar kodunun kamuya açıklanması, eşleştirilmemiş sistemleri hedefleyen saldırıların olasılığını önemli ölçüde artırır.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy