Ubuntu Sunucusunda varsayılan olarak yüklenen needrestart bileşeninde keşfedilen on yıllık çok sayıda Yerel Ayrıcalık Yükseltme (LPE) güvenlik açığı, yerel bir saldırganın kök erişimi elde etmesine izin verebilir.
needrestart, sisteminizin yeniden başlatılması gerekip gerekmediğini veya hizmetlerinden herhangi birinin yeniden başlatılması gerekip gerekmediğini görmek için sisteminizi kontrol eden bir yardımcı programdır.
needrestart, sunucu görüntüleri ile entegrasyonu nedeniyle, katılımsız yükseltmeler de dahil olmak üzere kurulum, yükseltme veya kaldırma gibi APT etkinliklerini otomatik olarak yürütecek şekilde yapılandırılmıştır.
Ubuntu Sunucusu’na 21.04 sürümünden bu yana varsayılan olarak yüklenen needrestart bileşeni, dünya çapında önemli sayıda dağıtımı etkileyen güvenlik açıkları içeriyor.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Sorunlar büyük olasılıkla Nisan 2014’te yayımlanan Needrestart 0.8 sürümündeki tercüman desteğiyle ortaya çıkmıştır.
Güvenlik Açıklarının Ayrıntıları
Qualys Tehdit Araştırma Birimi (TRU), CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 ve CVE-2024-11003 olarak takip edilen kusurları keşfetti; sistem bütünlüğünü sağlayın.
Saldırgan tarafından kontrol edilen PYTHONPATH ortam değişkenini kullanan, CVSS puanı 7,8 olan CVE-2024-48990 olarak bilinen bir güvenlik açığı, yerel saldırganların Python yorumlayıcısını başlatmak için yeniden başlatmayı kandırarak kök olarak rastgele kod çalıştırmasına olanak tanır.
CVSS puanı 7,8 olan, CVE-2024-48991 olarak tanımlanan güvenlik açığı, yerel saldırganların, sistemin gerçek Python yorumlayıcısı yerine kendi sahte Python yorumlayıcılarını kullanarak yeniden başlama ihtiyacını kandırarak ve bir yarış koşulu elde ederek, kök olarak rastgele kod çalıştırmasına olanak tanıyor.
CVE-2024-48992 olarak tanımlanan ve CVSS puanı 7,8 olan bir güvenlik açığı, yerel saldırganların, Ruby yorumlayıcısını saldırgan tarafından kontrol edilen bir RUBYLIB ortam değişkeniyle başlatmak için yeniden başlatma ihtiyacını teşvik ederek kök olarak rastgele kod yürütmesine olanak tanır.
CVE-2024-11003 (CVSS puanı: 7,8) ve CVE-2024-10224 (CVSS puanı: 5,3) olarak tanımlanan güvenlik açıkları, yerel bir saldırgan tarafından keyfi kabuk komutlarının yürütülmesine olanak tanıyor.
Paket kurulumları veya yükseltmeleri sırasında sıklıkla root kullanıcı olarak kullanılan needrestart yardımcı programındaki bu kusurlar, yerel kullanıcıların rastgele kod çalıştırarak ayrıcalıklarını artırmasına olanak tanıyor.“
Bu güvenlik açıklarından yararlanan bir saldırgan, kök erişimi elde ederek sistem bütünlüğünü ve güvenliğini tehlikeye atabilir”, uyarı metnini okuyor.“
Bu durum işletmeler için hassas verilere yetkisiz erişim, kötü amaçlı yazılım kurulumu ve iş operasyonlarının kesintiye uğraması gibi ciddi riskler oluşturuyor”.
Etkilenen Yeniden Başlatma Sürümleri ve Düzeltmeler Mevcuttur
Güvenlik açıkları, 21.04 sürümünden bu yana Ubuntu Sunucusuna varsayılan olarak yüklenen needrestart bileşeninde bulunuyor.
Bileşen, yerel saldırganların 3.8’den önceki sürümlerde kök olarak rastgele kod çalıştırmasına olanak tanır. Sorun, 3.8’den önceki yeniden başlatmaya ihtiyaç duyan sürümleri etkiliyor ve 3.8 sürümü bir düzeltme sunuyor.
Needrestart yapılandırmasında yorumlayıcı buluşsal yönteminin devre dışı bırakılması bu kusuru önler.
Needrestart yapılandırma dosyası genellikle /etc/needrestart/needrestart.conf dosyasında bulunur. Bu dosya, needrestart yardımcı programının davranışını kontrol eden çeşitli seçenekler içerir.
Bu güncelleme tercüman tarama özelliğini devre dışı bırakacaktır. Bu nedenle işletmeler, duyarlı özelliği kaldırarak veya yazılımı güncelleyerek bu riski hızla azaltmalıdır.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin