Ubuntu’nun Linux çekirdeğinde, yerel saldırganların ayrıcalıkları yükseltmesine ve etkilenen sistemlerde potansiyel olarak kök erişimi elde etmesine olanak tanıyan kritik bir güvenlik açığı açığa çıktı.
TyphoonPWN 2025’te açıklanan kusur, af_unix alt sistemindeki referans sayısı dengesizliğinden kaynaklanıyor ve araştırmacıların tam bir kavram kanıtı istismarıyla gösterdiği serbest kullanımdan sonra kullanım (UAF) durumuna yol açıyor.
Bu sorun, 6.8.0-60-generic çekirdek sürümünü çalıştıran Ubuntu 24.04.2’yi etkiliyor ve popüler dağıtımlar için çekirdek yama yönetiminde devam eden zorlukları vurguluyor.
Bunun temel nedeni, Ubuntu’nun af_unix etki alanı yuvalarındaki referans sayma hatalarını düzeltmeyi amaçlayan, süreçlerin birbirine dosya tanımlayıcıları göndermesine izin vererek işlemler arası iletişimi kolaylaştıran yukarı akışlı Linux çekirdek yamalarının kısmi uygulanmasında yatmaktadır.
Geçmişte alt sistem döngüsel referansları işlemek için bir çöp toplama mekanizması kullanıyordu. Yine de, son yukarı akış değişiklikleri, bant dışı (OOB) soket arabellek çekirdeği (skb) referanslarının nasıl yönetileceğini ayarlarken bunu yeni bir algoritmayla değiştirdi.
Özellikle yamalar, MSG_OOB bayrakları aracılığıyla gönderilen OOB verileri için bir işaretçi olan u->oob_skb üzerinde gereksiz yeniden sayımları önlemek için af_unix.c içindeki kuyruk_oob işlevindeki skb_get() çağrısını kaldırdı ve buna bağlı olarak çöp toplama sırasında bu sayının azaltılmasından kaçındı.
Ubuntu’nun Çekirdek Ayrıcalığının Yükseltilmesi
Ubuntu’nun daha eski bir 6.8.12 sürümünü temel alan çekirdeği, eski çöp toplama yöntemini korudu ancak yalnızca af_unix.c değişikliğini hatalı bir şekilde uyguladı ve çöp.c’ye yapılan güncellemeleri atladı.
Bu uyumsuzluk, oob_skb’nin tahsis sırasında bir referans kaybetmesine, ancak biri unix_gc’de kfree_skb yoluyla ve diğeri soket kapatma sırasında unix_release_sock’ta olmak üzere iki azalmaya sahip olmasıyla sonuçlanır ve skbuff_head_cache bloğundan 256 baytlık struct sk_buff nesnesi üzerinde bir UAF tetikler.
SSD Açıklaması, her iki işlevin de nesneyi serbest bırakabilmesine rağmen, pratik kullanımın sürekli olarak unix_gc’de serbest olanı ve ardından unix_release_sock’ta kullanımı gördüğünü belirtti.
Bundan yararlanmak, güvenilir UAF için ücretsiz ve kullanım aşamalarının ayrılmasını gerektirir; bu, wait_for_unix_gc’yi çağıran sonraki bir sendmsg çağrısı sırasında yüksek bir unix_tot_inflight sayısı (16.000’in üzerinde) yoluyla yuva kapatıldıktan hemen sonra çöp toplamanın tetiklenmesiyle gerçekleştirilir.
Unix_release_sock’un sistem çağrısı sonrasında bir TWA_RESUME iş öğesi olarak yürütülmesinden önce zamanlama boşluğunu kapatmak için, istismar, skb_copy_datagram_from_iter’deki bir FUSE dosya sistemi mmap’d arabelleğini kullanarak yürütmeyi durdurur ve çekirdek iş parçacığını özel bir FUSE_read işleyicisi aracılığıyla saniyeler boyunca uyutur.
Daha sonra bir çapraz önbellek saldırısı, özel levhayı serbest bırakarak, geridöngü arayüzündeki paket soketleri aracılığıyla püskürtülen kontrollü pg_vec yapılarıyla sayfayı geri alır.
Serbest bırakılan skb’nin üzerine yazmak, skb_release_head_state’deki yıkıcı çağrısı üzerinde kontrol sağlayarak RIP ve RDI’nın ele geçirilmesini sağlar.
KASLR bypass, %100 başarı için KPTI olmayan sistemlerde istatistiksel zamanlama analizini kullanan, Entrybleed’in önceden getirilen bir yan kanal varyantını kullanır.
Son olarak, ROP zincirleri modprobe_path’in üzerine usermodehelper çağrısı aracılığıyla root yetkisi veren bir kabuk betiği olan “/tmp/x”e yazar.
Sağlanan yardımcı programlar ve FUSE bileşenleriyle derlenen gelişmiş bir C açığı olan PoC, KASLR sızıntısı, püskürtme ve yük yürütme dahil olmak üzere tam ayrıcalık yükseltmeyi gösterir.
TyphoonPWN 2025’in Linux kategorisinde birinciliği kazandı ve kaşifin çekirdek iç analizi konusundaki titizliğini takdir etti.
Azaltma
Canonical hızlı bir şekilde yanıt verdi ve 18 Eylül 2025’te güncellenmiş bir çekirdek yayınladı; bu çekirdek, değiştirilen her iki dosyadaki yeniden sayımları dengelemek için tam yukarı yönlü düzeltmeler içeriyordu.
Etkilenen sürümlerdeki kullanıcılar, 6.8.0-61 veya üzeri çekirdeği doğrulayarak apt yükseltme linux-generic aracılığıyla derhal güncelleme yapmalıdır.
Bu olay, dağıtım çekirdeklerindeki seçici yedeklemenin risklerinin altını çiziyor ve yöneticileri güvenlik tavsiyelerini yakından izlemeye teşvik ediyor.
Yaygın bir istismar rapor edilmedi, ancak halka açık PoC, kurumsal ortamlardaki yamaların aciliyetini artırıyor. (Kelime sayısı: 412)
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
