CVE-2024-26809 olarak izlenen Linux çekirdeğinin NFTables alt sisteminde önemli bir güvenlik açığı için kritik bir kavram kanıtı (POC) istismarı serbest bırakılmıştır.
Çekirdek Netfilter altyapısına dayanan bu kusur, etkilenen sistemleri sofistike bir çift serbest saldırı yoluyla yerel ayrıcalık artışına maruz bırakıyor.
Kullanıcı “ConLonialC” dahil güvenlik araştırmacıları, bu hatanın kök seviyesi erişimini sağlamak için nasıl silahlandırılabileceğini gösterdi ve sistem yöneticilerinin mevcut yamaları uygulamayacağı aciliyetin altını çizdi.
.png
)
CVE-2024-26809’a teknik bakış
Güvenlik açığı, IPTables ve IP6tables gibi eski paket filtreleme çerçevelerinin yerini almak üzere tasarlanmış NFTables alt sisteminde bulunur.
NFTables, filtreleme kurallarını yönetmek için NFT_SET_PIPAPO yapısı dahil olmak üzere çeşitli çekirdek çekirdek bileşenlerine dayanır.
Kusur, çekirdeğin net/netfilter modülündeki nft_pipapo_destroy () işlevini özellikle etkiler.
Belirli koşullar altında, bu işlev aynı bellek bölgesini iki kez serbest bırakmaya çalışabilir-klasik çift serbest senaryo-bir set “kirli” olarak işaretlendiğinde ve hem “eşleşme” hem de “klon” temsillerinde örtüşen öğeler içeriyor.
Savunmasız kod yolu aşağıdaki gibi özetlenebilir:
Burada, set kirliyse, nft_set_pipapo_match_destroy (), hem “eşleşme” hem de “klonda” bulunan öğelerde iki kez çağrılabilir, bu da çift ücretsiz bir duruma yol açar.
Sömürü süreci
ConlonialC tarafından yazılan yayınlanan POC istismarı, yerel ayrıcalık artışı için bu kırılganlığın nasıl yararlanacağını titizlikle gösterir.
Saldırı, bir pipapo setinin oluşturulmasıyla başlar ve setin kirli olarak işaretlenmesini sağlamak için birden fazla elementin yerleştirilmesi.
Saldırgan daha sonra setin yok edilmesini tetikler ve çekirdeğin aynı set öğelerini iki kez serbest bırakmasına neden olur. Bu çiftsiz, çekirdek nesne tahsisleri için yaygın olarak kullanılan Kmalloc-256 nesne önbelleğini hedefleyen çekirdeğin yığınını bozar.
Yasalar, yığın tahsislerini ve anlaşmalarını dikkatlice düzenleyerek, birkaç ileri hedefe ulaşır:
- Adres sızıntılarını etkinleştirmek için bellekte örtüşen NFTables nesneleri.
- Çekirdek yürütme akışını yeniden yönlendirmek için expr-> ops-> döküm gibi kaçırma işlev işaretçileri.
- Ayrıcalıkları yükseltmek ve bir kök kabuğu ortaya çıkarmak için iade odaklı bir programlama (ROP) zincirinin yürütülmesi.
İstismarın önemli bir kısmı, talimat işaretçisi (RIP) üzerinde kontrol kazanmak için çekirdeğin dahili veri yapılarının manipüle edilmesini içerir.
Saldırgan sahte bir NFT_EXPR nesnesi oluşturur ve yığını döndürmek için bir ROP gadget kullanır ve sonuçta çekirdek bağlamında keyfi kod yürütür.
İstismarın güvenilirliği, özgür yığın parçalarını ve sızıntı çekirdeği adreslerini geri alma yeteneği ile arttırılır ve ortak hafifletmeleri atlar.
Aşağıdaki alıntı, POC’de kullanılan yığın manipülasyonunu ve ROP kurulumunu göstermektedir:
Bu dizi, saldırganın, kök erişimiyle sonuçlanan özel bir ROP gadget’ına nasıl yürütüldüğünü nasıl yönlendirdiğini gösterir.
Etkilenen sürümler
CVE-2024-26809, 6.1 ve 6.6 LTS dalları dahil olmak üzere Linux çekirdek sürümlerini 5.15.54 ve sonraki sürümleri etkiler.
Güvenlik açığı, son çekirdek güncellemelerinde, desteklenen tüm sürümler için Debian, Ubuntu ve Suse gibi dağıtımlar ile ele alınmıştır.
Düzeltme, elemanların yalnızca set yıkımı sırasında “klon” yolundan serbest bırakılmasını ve çiftsiz koşulları önlemesini sağlar.
Sistem yöneticilerine en son güvenlik güncellemelerini derhal uygulamaları şiddetle tavsiye edilir. Patched Sistemler, etkilenen makineler üzerinde tam kontrol kazanmak için bu kusurdan yararlanabilen yerel saldırganlara karşı savunmasız kalır.
CVE-2024-26809 için fonksiyonel bir istismarın halka açık olması, Linux sunucuları ve iş istasyonları için tehdit manzarasında önemli bir yükselişe işaret ediyor.
Exploit, gelişmiş yığın manipülasyonu ve çekirdek sömürü tekniklerini sergiliyor ve bu da onu saldırganlar için güçlü bir araç haline getiriyor.
Bu kırılganlığın ortaya koyduğu riski azaltmak için hızlı bir şekilde yama ve güvenliğe bağlılık en iyi uygulamalar gereklidir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri