MacOS’ta CVE-2024-27822 olarak tanımlanan bir güvenlik açığı keşfedildi. Bu güvenlik açığı yetkisiz kök erişimine izin veriyor ve hem siber güvenlik uzmanları hem de macOS kullanıcıları arasında ciddi endişelere yol açıyor.
Bir Kavram Kanıtı (PoC) yararlanma kodunun yayımlanması, bu kritik sorunun çözülmesinin aciliyetini artırdı.
CVE-2024-27822, macOS’ta saldırganların uygun yetkilendirme olmadan root erişimi elde etmesine olanak tanıyan yeni tanımlanan bir güvenlik açığıdır.
Kök erişimi, bir sistem üzerinde en yüksek düzeyde kontrol sağlayarak herhangi bir komutun yürütülmesine ve tüm dosyalara erişime olanak tanır. Bu düzeydeki erişim, veri hırsızlığı, sistem manipülasyonu ve kötü amaçlı yazılım kurulumu gibi ciddi sonuçlara yol açabilir.
Khronokernel tarafından hazırlanan ayrıntılı bir rapora göre güvenlik açığı, macOS çekirdeğindeki belirli kullanıcı girişlerini doğru şekilde doğrulayamayan bir kusurdan kaynaklanıyor.
Güvenlik araştırmacısı Mykola Grymalyuk, Apple’ın Installer.app ve PackageKit.framework’ünü etkileyen CVE-2024-27822 adlı kritik bir güvenlik açığını tespit etti.
Bu güvenlik açığının kökeni, PKG’lere (paket dosyaları) gömülü kurulum komut dosyalarının mevcut kullanıcının ortamında root olarak nasıl yürütüldüğünden kaynaklanmaktadır. Özellikle #!/bin/zsh shebang içeren komut dosyaları, root izinleriyle çalışırken kullanıcının .zshenv dosyasını yükler.
Temel sorun, .zshenv dosyasına kötü amaçlı bir veri ekleme potansiyelidir. Bir kullanıcı ZSH tabanlı bir PKG kurduğunda, kurulum betiği root ayrıcalıklarıyla çalışır ve .zshenv dosyasını yükler, böylece tüm gömülü kötü amaçlı kodları root olarak çalıştırır. Bu, özellikle kullanıcılar PKG’leri manuel olarak yüklediğinde önemli bir güvenlik riski oluşturur.
Birincil saldırı vektörü, .zshenv dosyasında hareketsiz kalabilen mantıksal bomba tabanlı bir yükü içerir. Bu veri, kullanıcı ZSH tabanlı bir PKG yüklediğinde etkinleşir, kök ayrıcalıklarıyla yürütülür ve saldırgana kök erişimi sağlanır. Bu güvenlik açığı özellikle kullanıcıların çeşitli kaynaklardan PKG’leri sıklıkla yüklediği ortamlarda tehlikelidir.
Mykola Grymalyuk, CVE-2024-27822’nin kullanımını göstermek için bir kavram kanıtı sağladı. Süreç oldukça basittir ve güvenlik açığının ciddiyetini vurgulamaktadır:
- .zshenv dosyasına kötü amaçlı bir veri enjekte edin.
- #!/bin/zsh shebang ile bir PKG yükleyin (örneğin, Generic-ZSH.pkg).
- PKG kurulumu sonrasında yükün kök ayrıcalıklarıyla yürütülmesini gözlemleyin.
Bu kavram kanıtı, bu güvenlik açığından ne kadar kolay yararlanılabileceğini vurgulayarak acil müdahale ve iyileştirme ihtiyacını vurguluyor.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Bu gözetim, ayrıcalıkları standart bir kullanıcıdan kök düzeyine yükseltmek için kullanılabilir. Güvenlik açığı, macOS’un birden fazla sürümünü etkiliyor ve bu da onu yaygın bir endişe haline getiriyor.
PoC Kullanım Kodu Yayınlandı
CVE-2024-27822 için PoC yararlanma kodu. PoC kodu, bir macOS sistemine kök erişimi sağlamak için güvenlik açığından nasıl yararlanılabileceğini gösterir.
Bu kodun kamuya açık alanda bulunması, saldırganların izleyeceği bir plan sağladığından kötüye kullanım riskini önemli ölçüde artırır.
PoC yararlanma kodu, güvenlik açığını keşfeden bir güvenlik araştırmacısı tarafından geliştirildi. PoC kodunun yayınlanması, farkındalığı artırmayı ve Apple’ın hızlı bir şekilde yanıt vermesini sağlamayı amaçlasa da, aynı zamanda potansiyel olarak kötü niyetli aktörlerin bir yama yayınlanmadan önce bu güvenlik açığından yararlanmasına olanak tanıyarak bir risk oluşturmaktadır.
Siber güvenlik topluluğu, PoC istismarının yayınlandığı haberine hızlı bir şekilde tepki verdi. Uzmanlar, macOS kullanıcılarını istismar riskini azaltmak için acil önlem almaya çağırıyor. Önerilen eylemler şunları içerir:
- Çözümlenen sürümler:
- macOS 14.5 Beta 2 (23F5059e) ve daha yenisi
- macOS 13.6.7 (22G720) ve daha yenisi
- macOS 12.7.5 (21H1222) ve daha yenisi
- Etkilenen sürümler:
- macOS 14.5 Beta 1 (23F5049f) ve üzeri
- macOS 13.6.6 (22G630) ve üzeri
- macOS 12.7.4 (21H1123) ve üzeri
- MacOS 11 veya daha eski herhangi bir sürüm
- Yazılımı Güncelle: MacOS dahil tüm yazılımların en son güvenlik yamalarıyla güncel olduğundan emin olun. Apple’ın yakında CVE-2024-27822’yi ele alacak bir yama yayınlaması bekleniyor.
- Kullanıcı Ayrıcalıklarını Sınırlayın: Kullanıcı hesaplarını gerekli minimum ayrıcalıklarla sınırlayın. Günlük görevler için kök veya yönetici erişimine sahip hesapları kullanmaktan kaçının.
- Monitör Sistemleri: Güvenlik açığından yararlanma girişimini gösterebilecek olağandışı etkinlikleri tespit etmek için güçlü izleme çözümleri uygulayın.
- Verileri Yedekle: Olası bir güvenlik ihlalinin etkisini azaltmak için önemli verileri düzenli olarak yedekleyin.
Apple’ın Yanıtı
Bu yazının yazıldığı an itibarıyla Apple güvenlik açığını kabul etti ve aktif olarak bir yama üzerinde çalışıyor. Apple yaptığı açıklamada kullanıcı güvenliğine olan bağlılığını vurguladı ve mümkün olan en kısa sürede bir düzeltme yayınlanacağının garantisini verdi.
Kullanıcıların güncellemeler için bizi takip etmeye devam etmeleri ve yamayı kullanılabilir hale gelir gelmez hemen uygulamaları önerilir.
CVE-2024-27822 için PoC yararlanma kodunun yayımlanması, macOS’taki kritik bir güvenlik açığını ortaya çıkardı ve zamanında güncellemelerin ve dikkatli güvenlik uygulamalarının öneminin altını çizdi.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo