Qualys araştırmacılarına göre, GNU C Kütüphanesindeki (diğer adıyla “glibc”) bir güvenlik açığı (CVE-2023-4911), saldırganlar tarafından birçok popüler Linux dağıtımında kök ayrıcalıkları kazanmak için kullanılabilir.
CVE-2023-4911 Hakkında
“Looney Tunables” olarak adlandırılan CVE-2023-4911, dinamik yükleyicinin GLIBC_TUNABLES ortam değişkenini işlemesinde ortaya çıkan bir arabellek taşması güvenlik açığıdır. Saldırganların bundan yararlanabilmesi için öncelikle sisteme erişim sağlamaları gerekir.
“Glibc olarak bilinen GNU C Kütüphanesi, GNU sistemindeki ve Linux çekirdeğini çalıştıran çoğu sistemdeki C kütüphanesidir. Qualys’in Tehdit Araştırma Birimi ürün müdürü Saeed Abbasi, sistem çağrılarını ve tipik bir programın gerektirdiği açık, malloc, printf, çıkış vb. gibi diğer temel işlevleri tanımlar.
“GNU C Kütüphanesinin dinamik yükleyicisi, glibc’nin programların hazırlanmasından ve çalıştırılmasından sorumlu çok önemli bir bileşenidir. Rolü göz önüne alındığında, dinamik yükleyici, yerel bir kullanıcı bir kullanıcı kimliği belirleme veya grup kimliği belirleme programını başlattığında kodu yükseltilmiş ayrıcalıklarla çalıştığından güvenlik açısından son derece hassastır.”
Qualys araştırmacıları glibc v2.34’teki güvenlik açığını manuel olarak keşfettiler, ancak güvenlik açığı bulunan işlevin bulanıklaştırılmasıyla da keşfedilebileceğini söylüyorlar.
Güvenlik açığından yararlanma potansiyeline ilişkin araştırmalarını ayrıntılı olarak açıkladılar ve Fedora 37 ve 38, Ubuntu 22.04 ve 23.04 ile Debian 12 ve 13’ün varsayılan kurulumlarında tam kök ayrıcalıkları elde etmek için bu güvenlik açığından yararlandıklarını paylaştılar.
Kavram kanıtı niteliğindeki yararlanma kodunu yayınlamadılar, ancak “arabellek taşmasının yalnızca veri saldırısına dönüştürülebilme kolaylığı, diğer araştırma ekiplerinin yakında açıklardan yararlanıp yayınlayabileceği anlamına geldiğini” belirtti.
Diğer araştırmacıların POC’leri GitHub’da yayınlandı.
Düzeltmeler mevcut
Abbasi, “Alpine Linux gibi bazı dağıtımlar, glibc yerine musl libc kullanmaları nedeniyle muaf olsa da, pek çok popüler dağıtım potansiyel olarak savunmasızdır ve yakın gelecekte istismar edilebilir” dedi.
Şimdiye kadar, CVE-2023-4911 yukarı akış glibc’de düzeltildi.
Linux dağıtım satıcıları, kullanıcıları kütüphanenin güvenlik açığı olmayan bir sürümüne yükseltmeye çağırıyor: Ubuntu, RedHat, Debian, Fedora, Gentoo.