Standart sistem davranışlarının, diğer kullanıcılardan hassas kimlik bilgilerini ve sırları toplamak için kullanılabileceği çok kullanıcı Linux ortamlarında önemli bir güvenlik açığı.
“Sessiz Sızıntılar: Paylaşılan Linux ortamlarından Sırlar Hasat” ile sunulan araştırma, meşru sistem araçlarının paylaşılan barındırma ortamlarında keşif için nasıl silah haline geldiğini göstermektedir.
Saldırı metodolojisi, başlangıçta üniversiteler ve ortak laboratuvarlar gibi güvenilir çok kullanıcı ortamlar için tasarlanmış temel Linux şeffaflık özelliklerinden yararlanır.
Key Takeaways
1. ps auxww and /proc/[pid]/cmdline expose live passwords and API keys from other users' processes.
2. CageFS, chroot, and LiteSpeed can be bypassed via hosting panel binaries and shared logs.
3. /tmp directory surveillance captures sensitive files containing credentials and secrets.
Bu sistemler, kullanıcılar arası izolasyon üzerinde hata ayıklama özelliklerine ve sistem izlemeye öncelik verir ve kötü niyetli aktörlerin geleneksel güvenlik uyarılarını tetiklemeden zeka toplamaları için fırsatlar yaratır.
İşlem Bilgileri Sömürü
Birincil saldırı vektörü, PS AUXWW ve Access /Proc /gibi komutlar aracılığıyla süreç argümanlarının varsayılan görünürlüğünü kullanır.[pid]/cmdline.
Ionut Cernica’nın araştırması, saldırganların gerçek zamanlı kimlik bilgisi maruziyetlerini yakalamak için bu süreç listelerini nasıl sürekli olarak izleyebileceğini gösteriyor.
Araştırmadan elde edilen gerçek dünya örnekleri, WordPress CLI operasyonları aracılığıyla sızan veritabanı kimlik bilgilerini içerir:
Sistem Yönetim Komutları ayrıca kullanıcı oluşturma ve veritabanı işlemleri sırasında hassas bilgileri de ortaya çıkarır:
Araştırmacı, temel işlem izleme komutlarını yürütebilen herhangi bir kullanıcı tarafından yönetici şifrelerin, API anahtarlarının ve veritabanı kimlik bilgilerinin görülebildiği durumları belgeledi.
Bu, kök seviyesi işlemlerinin komut satırı bağımsız değişkenleri aracılığıyla kimlik bilgilerini yanlışlıkla ortaya koyduğu senaryoları içerir.
Bypass izolasyon sistemleri ve geçici dosyalardan yararlanma
CAGEFS ve Chroot hapishaneleri gibi izolasyon sistemleri tarafından korunan ortamlarda bile, Cernica kaçış tekniklerini başarıyla gösterdi.
Dikkate değer bir durum, gerçek ana bilgisayar sistemine erişim sağlayan, yanlışlıkla CAGEFS ortamının dışında çalışan bir barındırma paneli ikiliden yararlanmayı içeriyordu.
Araştırma ayrıca, Saldırganların paylaşılan stderr.log dosyalarını okumasına izin vererek diğer kullanıcıların komut dosyalarından gerçek zamanlı hata çıktılarını açığa çıkararak,/proc/self/fd/2’ye erişmenin sağladığı LITESPEED web sunucusu yapılandırmalarındaki güvenlik açıklarını vurguladı.
Buna PayPal API jetonları ve oturum çerezleri dahildir:
Geçici dosya izleme başka bir önemli tehdit vektörü sunar. /TMP dizinlerini izleyen komut dosyaları, SQL dökümleri, yapılandırma dosyaları ve yönetim şifreleri içeren yükleme günlükleri gibi hassas dosyaları yakalayabilir.
Araştırmacı, kurulum günlüklerinin kritik sistem kimlik bilgilerini ortaya çıkardığı durumları belgeledi:
Çıkarımlar, geleneksel barındırma sağlayıcılarının ötesinde geliştirme sunucularına, eğitim laboratuvarlarına, VPS ortamlarına ve CTF altyapısına kadar uzanmaktadır.
Cernica, bu güvenlik açıklarını Nisan ayında büyük barındırma platformlarına sorumlu bir şekilde açıkladı ve şu anda etkilenen sistemlerde devam ediyor.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın