Ubuntu Sunucusunda (sürüm 21.04’ten bu yana) varsayılan olarak yüklenen needrestart paketinde, yerel bir saldırganın kullanıcı etkileşimi gerektirmeden kök ayrıcalıkları kazanmasına izin verebilecek çok sayıda on yıllık güvenlik açığı açıklandı.
Geçen ayın başlarında kusurları tespit edip bildiren Qualys Tehdit Araştırma Birimi (TRU), bunların istismar edilmesinin önemsiz olduğunu ve kullanıcıların düzeltmeleri uygulamak için hızlı hareket etmeleri gerektiğini söyledi. Güvenlik açıklarının, 27 Nisan 2014’te yayımlanan needrestart 0.8’de tercüman desteğinin sunulmasından bu yana var olduğuna inanılıyor.
Ubuntu, bir danışma belgesinde “Bu yeniden başlatma ihtiyacı duyulan istismarlar, Yerel Ayrıcalık Yükseltmesine (LPE) izin veriyor, bu da yerel bir saldırganın kök ayrıcalıkları elde edebileceği anlamına geliyor” dedi ve bunların sürüm 3.8’de ele alındığını belirtti.
Needrestart, sistemin tamamen yeniden başlatılmasını önleyecek şekilde paylaşılan kitaplık güncellemelerini uyguladıktan sonra yeniden başlatılması gereken hizmetleri belirlemek için sistemi tarayan bir yardımcı programdır.
Beş kusur aşağıda listelenmiştir:
- CVE-2024-48990 (CVSS puanı: 7,8) – Yerel saldırganların Python yorumlayıcısını saldırgan tarafından kontrol edilen bir PYTHONPATH ortam değişkeniyle çalıştırma ihtiyacını yeniden başlatarak kandırarak kök olarak rastgele kod yürütmesine olanak tanıyan bir güvenlik açığı
- CVE-2024-48991 (CVSS puanı: 7,8) – Yerel saldırganların, bir yarış koşulunu kazanarak ve kendi sahte Python yorumlayıcısını çalıştırma ihtiyacını yeniden başlatarak kandırarak kök olarak rastgele kod yürütmesine olanak tanıyan bir güvenlik açığı
- CVE-2024-48992 (CVSS puanı: 7,8) – Yerel saldırganların, Ruby yorumlayıcısını saldırgan tarafından kontrol edilen bir RUBYLIB ortam değişkeniyle çalıştıracak şekilde yeniden başlatma ihtiyacını kandırarak kök olarak rastgele kod yürütmesine olanak tanıyan bir güvenlik açığı
- CVE-2024-11003 (CVSS puanı: 7,8) ve CVE-2024-10224 (CVSS puanı: 5.3) – Yerel bir saldırganın, libmodule-scandeps-perl paketindeki bir sorundan yararlanarak kök olarak rastgele kabuk komutları yürütmesine olanak tanıyan iki güvenlik açığı (sürüm 1.36’dan önce)
Yukarıda belirtilen eksikliklerin başarıyla kullanılması, yerel bir saldırganın PYTHONPATH veya RUBYLIB için özel hazırlanmış ortam değişkenleri ayarlamasına olanak tanıyabilir ve bu, needrestart çalıştırıldığında tehdit aktörünün ortamını işaret eden rastgele kod yürütülmesine neden olabilir.
“CVE-2024-10224’te, […] saldırgan tarafından kontrol edilen giriş, Module::ScanDeps Perl modülünün, ‘sinir bozucu bir boruyu’ açarak (örneğin, dosya adı olarak ‘komutlar|’ iletmek gibi) veya eval()’a rastgele dizeler geçirerek rastgele kabuk komutları çalıştırmasına neden olabilir. “diye belirtti Ubuntu.
“Bu tek başına yerel ayrıcalık yükseltme için yeterli değil. Ancak CVE-2024-11003’te needrestart, saldırgan tarafından kontrol edilen girişi (dosya adları) Module::ScanDeps’e aktarır ve CVE-2024-10224’ü kök ayrıcalığıyla tetikler. CVE-2024-11003, needrestart’ın Module::ScanDeps’e olan bağımlılığını ortadan kaldırır.”
En son yamaları indirmeniz önemle tavsiye edilirken Ubuntu, kullanıcıların ihtiyaç halinde tercüman tarayıcıları devre dışı bırakabileceğini, geçici bir hafifletme olarak yapılandırma dosyasını yeniden başlatabileceğini ve güncellemeler uygulandıktan sonra değişikliklerin geri alınmasını sağlayabileceğini söyledi.
Qualys’teki TRU’nun ürün müdürü Saeed Abbasi, “Needrestart yardımcı programındaki bu güvenlik açıkları, needrestart’ın genellikle kök kullanıcı olarak çalıştırıldığı paket kurulumları veya yükseltmeleri sırasında rastgele kod çalıştırarak yerel kullanıcıların ayrıcalıklarını yükseltmelerine olanak tanıyor” dedi.
“Bu güvenlik açıklarından yararlanan bir saldırgan, kök erişimi elde ederek sistem bütünlüğünü ve güvenliğini tehlikeye atabilir.”