Ubuntu Sunucusunda varsayılan bir paket olan needrestart bileşeninde beş kritik Yerel Ayrıcalık Artışı (LPE) güvenlik açığının keşfedilmesinin ardından siber güvenlik topluluğu yüksek alarma geçti.
Neredeyse on yıldır mevcut olan bu kusurlar, potansiyel olarak ayrıcalıklı olmayan herhangi bir kullanıcının, kullanıcı etkileşimi olmadan tam kök erişimi elde etmesine olanak tanıyarak sistem güvenliği için önemli bir tehdit oluşturur.
Qualys Tehdit Araştırma Birimi (TRU) bu güvenlik açıklarını belirledi ve bunları şu şekilde izledi: –
- CVE-2024-48990
- CVE-2024-48991
- CVE-2024-48992
- CVE-2024-10224
- CVE-2024-11003
.webp)
Kusurlar, Nisan 2014’te yayınlanan needrestart sürüm 0.8’de tercüman desteğinin sunulmasından bu yana mevcut olup, 3.8’den önceki tüm sürümleri etkilemektedir.
Güncellemelerden sonra yeniden başlatmanın gerekli olup olmadığını belirlemek için sistemleri tarayan bir yardımcı program olan Needrestart, APT işlemlerinin ardından otomatik olarak yürütülür.
Qualys’teki güvenlik uzmanları, güvenlik açıklarının, yerel saldırganların Python/Ruby yorumlayıcılarını etkileyen ortam değişkenlerini manipüle ederek, temizlenmemiş verileri güvenli giriş bekleyen kütüphanelere ileterek kök olarak rastgele kod yürütmesine olanak tanıdığını gözlemledi.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Teknik Analiz
Güvenlik açıkları, 21.04 sürümünden bu yana Ubuntu Sunucusu kurulumlarını etkiliyor ve potansiyel olarak dünya çapında çok sayıda dağıtımı etkiliyor. Bu sürümleri çalıştıran kuruluşlar yetkisiz erişim, veri ihlalleri ve sistem tehlikeleri riskiyle karşı karşıyadır.
Bu güvenlik açıklarını gidermek için sistem yöneticilerine şunları yapmaları önerilir: –
- Güncellemenin 3.8 veya sonraki bir sürüme yeniden başlatılması gerekiyor.
- Alternatif olarak, needrestart’ın yapılandırma dosyasındaki (/etc/needrestart/needrestart.conf) yorumlayıcı buluşsal yöntemini aşağıdaki ayarı yaparak devre dışı bırakın:
metin
$nrconf{interpscan} = 0;
Siber güvenlik sektörü bu açıklamalara hızlı bir şekilde yanıt veriyor. Qualys, güvenlik açığı tespiti için QID’lerin yayınlandığını duyurdu ve TruRisk Eliminate platformu aracılığıyla hafifletme çözümleri sunuyor.
Diğer güvenlik firmalarının da güvenlik açığı tarayıcıları ve yönetim araçlarına yönelik güncellemeler yaparak aynı yolu izlemeleri bekleniyor. Bu keşif, uzun süredir devam eden sistem bileşenleri için bile düzenli güvenlik denetimlerinin ve hızlı yama uygulamasının önemini vurgulamaktadır.
Durum geliştikçe sistem yöneticileri ve güvenlik profesyonellerinin dikkatli olmaları, gerekli yamaları uygulamaları ve herhangi bir istismar belirtisini izlemeleri tavsiye edilir.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin