Güvenlik işlemleri
Ubuntu ve Red Hat aletlerindeki yarış koşullu hataları hassas bellek verilerini sızdırabilir
Prajeet Nair (@prajeaetspeaks) •
30 Mayıs 2025
Araştırmacılar, bilgisayar korsanları, şifreler ve şifreleme anahtarları elde etmek için eski Linux işletim sistemlerinde çökmüş sistem verilerini depolayan bir araçtan yararlanabilir.
Ayrıca bakınız: Kavram kanıtı: AI ajanlarının yaşı için kimliği yeniden düşünmek
Güvenlik açığı, Ubuntu, Red Hat ve Fedora’nın eski sürümleri de dahil olmak üzere bazı Linux dağıtımlarının uygulama çökmelerini ele almasıdır. Gibi araçlar Apport – ubuntu – ve systemd-coredump – Red Hat ve Fedora – Programlar başarısız olduğunda veri toplayın. Tasarımlarındaki bir kusur, yerel erişimi olan saldırganların çekirdek döküm kaza günlüklerini okumasına izin verebilir. Günlükler, parola karmalar ve şifreleme anahtarları gibi hassas bilgiler içerebilir, potansiyel olarak bilgisayar korsanlarına ayrıcalıkları artırmak veya sistemin diğer kısımlarını tehlikeye atmak için bir dayanak verebilir.
Qualys Tehdit Araştırma Birimi, çekirdek döküm çerçevelerinde CVE-2025-5054 ve CVE-2025-4598 olarak izlenen iki yarış-koşul güvenlik açıkını belirledi. Sakinsiz bir saldırgan, içinde depolanan şifre karmaları gibi verilere erişebilir /etc/shadow.
Sertifika yaşam döngüsü yönetim sağlayıcısı Sectigo kıdemli üyesi Jason Soroko, yeni açıklanan kusurlar, çekirdek döküm işleyicilerinin Linux ortamlarında nasıl gözden kaçan bir saldırı yüzeyi olduğunu vurguluyor. “Çökme işleyicileri Linux hijyeninde gizli bir zayıf nokta olmaya devam ediyor” dedi.
Kusurlar, bir SUID işleminin çökmesini bekler ve daha sonra ağ tabanlı algılamayı tetiklemeden bellek anlık görüntülerinden şifre karmalarını çıkarmak için “işleyiciyi yarıştır”. Soroko, saldırının “çalışma zamanı bellek korumasına odaklanan her kontrolü” atladığı konusunda uyardı.
Çekirdek dökme işleyicilerdeki yarış koşulları, saldırganların programları kök izinleri ile kullanmasına izin verir. unix_chkpwd bellek çekirdek dökümlerine erişmek için. SUID’li bir dosya her zaman dosyanın sahibi olan kullanıcı ile aynı izin düzeyine sahip çalışır.
Linux geliştiricileri, katı süreç kimliği doğrulaması uygulama ve çekirdek Suid dosyalarına erişimi sınırlama gibi çekirdek dökümleri hacklemeye karşı korumalar oluşturdular. Ancak, “modası geçmiş veya kaplanmamış sürümler yürütüyor sistemler, bugün Qualys tarafından açıklanan güvenlik açıkları için ana hedefler olarak olmaya devam ediyor” diye yazdı.
Qualys, saldırganların nasıl çökebileceğini gösteren kavram kanıtı istismarları yayınladı unix_chkpwdgeleneksel izin kontrollerini atlayarak, kullanıcı kimlik bilgilerini doğrulamak ve gölge dosya içeriğini almak için çekirdek dökümünü engellemek için kullanılır.
Güvenlik açığını düzeltmek için kalıcı yamalar geliştirilirken, Qualys hemen ayarlamayı önerir /proc/sys/fs/suid_dumpable ile 0. Bu, saldırı vektörünü hafifleterek SUID programları için çekirdek dökümleri devre dışı bırakır. Ayrıca, sistem yöneticileri erişimi sınırlamalıdır. /var/lib/systemd/coredump veya benzer dizinler ve potansiyel olarak etkilenen sistemlerde yerel kullanıcı etkinliğini denetleyin.
Soroko, geliştiricilerin Crash Dump yönetimini geliştirici kolaylığı yerine düzenlenmiş bir veri boru hattı olarak yeniden sınıflandırması gerektiğini söyledi. “Bellek dökümü işlemeyi izole ad alanlarına veya kaplara taşımalıyız veya tamamen canlı hata ayıklama gerektirmeyen ana bilgisayarlarda devre dışı bırakmalıyız” dedi. Soroko ayrıca çöplükte ve dinlenmede çöplükleri şifrelemeyi, triyajdan sonra güvenli silinme uygulamasını ve Suid ikili dosyaların döküm yazmasını önlemeyi önerdi.
“Bu değişiklikler, şifre karma hırsızlığı ile tetiklenen bir ihlalle karşılaştırıldığında çok pahalıya mal olacak ve satıcılar çekirdek döküm tasarımını yeniden düşündükçe geleceğe dayanıklı mülkler olacak.” Dedi.