Araştırmacılar, Linux çekirdeğinde, yedi yıl öncesine dayanan ve saldırganların uzaktan kod yürütmesine izin verebilecek kritik bir güvenlik açığı ortaya çıkardılar.
Çekirdek TCP alt sisteminde tanımlanan kusur, bir yarış koşulu ile tanıtıldı. inet_twsk_hashdance işlev.
Şimdi CVE-2024-36904 olarak izlenen bu sorun, güvenlik araştırmacıları tarafından bildirildikten sonra geçen yıl yamalandı.
Güvenlik açığının teknik dökümü
Güvenlik açığı, tcp_twsk_unique() Ve inet_twsk_hashdance() işlevler.
Özellikle, sorun bir zaman beklemesi TCP soketinin referans sayacı bir karma tablosuna yerleştirildikten ve bir kilit bıraktıktan sonra başlatılması nedeniyle ortaya çıkar.
Bu başlatmadan önce bir arama yapılırsa, nesne sıfırlı bir referans sayacıyla bulunur, uyarıları tetikler ve potansiyel olarak kullanma senaryolarına yol açar.
Kusur ilk olarak Linux çekirdek kaynak kodunun rutin denetimleri ve Syzkaller gibi araçlar kullanılarak bulanık testler sırasında fark edildi.
Araştırmacılar başlangıçta bilinen başka bir hatayı yeniden üretmeyi amaçladılar, ancak bu daha derin konuyu yanlışlıkla keşfettiler.
Red Hat Enterprise Linux türevleri ve Fedora da dahil olmak üzere çeşitli Linux dağıtımlarındaki varlığını doğruladılar.
Sömürü potansiyeli
Linux çekirdekleri referans karşı konulara karşı korumalar içerirken, bu güvenlik açığı belirli koşullar altında bu önlemleri atlar.
Soket üzerindeki işlemler kesin bir sırayı takip ederse, referans sayacı dengesiz hale gelebilir, bu da erken nesne sürümüne ve gerçek olmayan kullanıma yol açar.
Bu, saldırganların çekirdek bağlamında keyfi kod yürütmesine izin verebilir.
Kavram kanıtı istismarları, bu güvenlik açığının kontrollü koşullar altında tetiklenebileceğini göstermiştir.
Bununla birlikte, gerçek dünya sömürüsü, çekirdek içlerinin kesin zamanlamasını ve anlaşılmasını gerektirecektir.
Güvenlik açığı Mayıs 2024’te yukarı doğru yamalandı. Yöneticiler, sistemlerini düzeltmeyi içeren çekirdek sürümlerine güncellemeleri isteniyor.
Red Hat Enterprise Linux türevleri ve etkilenen diğer dağılımlar için satıcı tarafından sağlanan yamaların uygulanması kritiktir.
Alel Güvenlik Keşfi, proaktif çekirdek denetim ve yama uygulamalarının öneminin altını çizmektedir.
Güvenlik açıkları yıllarca fark edilmeden devam edebileceğinden, kuruluşlar eski kusurlarla ilişkili riskleri azaltmak için zamanında güncellemelere öncelik vermelidir.
CVE-2024-36904 vakası, uzun süredir devam eden güvenlik açıklarının bile, eklenmeden bırakılırsa nasıl önemli güvenlik tehditleri oluşturabileceğini vurgular.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free