Qualys’teki Tehdit Araştırma Birimi, yeni bir Linux kusurunun nasıl takip edildiğini ortaya çıkardı. (CVE-2022-3328), güvenliği ihlal edilmiş bir sistemde tam kök hakları elde etmek için diğer iki görünüşte önemsiz kusurla birleştirilebilir.
Ubuntu’da varsayılan olarak yüklenen bir SUID-root programı olan Linux snap-confine işlevi, güvenlik açığının bulunduğu yerdir.
Snap-confine programı, snapd tarafından dahili olarak snappy uygulamaları sınırlamak için dahili bir araç olan snap uygulamaları için yürütme ortamı oluşturmak üzere kullanılır.
Linux Kusuru, Saldırganların Tam Kök Ayrıcalığı Kazanmasına İzin Verdi
CVE-2022-3328 olarak izlenen yeni keşfedilen kusur, Snap yazılım paketleme ve dağıtım sistemi için kullanılan Canonical tarafından geliştirilmiş bir araç olan Snapd’de bir yarış durumudur.
Sorun, özellikle Snapd’in Snap uygulamalarının yürütüldüğü ortamı oluşturmak için kullandığı ‘snap-confine’ aracını etkiliyor.
“Şubat 2022’de Qualys Tehdit Araştırma Birimi (TRU), “Lemmings” danışma belgemizde CVE-2021-44731’i yayınladı. Güvenlik açığı (CVE-2022-3328), Şubat 2022’de CVE-2021-44731 yamasıyla tanıtıldı). Qualys tarafından yayınlanan gönderiyi okur.
Qualys Tehdit Araştırma Birimi (TRU), Ubuntu Sunucusundaki bu hatayı, çok yoldaki Leeloo Çoklu Yol adlı iki güvenlik açığıyla (bir yetkilendirme atlaması ve bir sembolik bağlantı saldırısı, CVE-2022-41974 ve CVE-2022-41973) birleştirerek istismar etti. tam kök ayrıcalıkları elde edin”.
CVE-2022-3328 zayıflığı, araştırmacılar tarafından başarısız yolları aramaktan sorumlu bir arka plan programı olan Multipathd’deki diğer iki kusura zincirlendi. Özellikle, Ubuntu da dahil olmak üzere birçok dağıtımın varsayılan kurulumlarında, Multipathd root olarak çalışır.
İki Güvenlik Açığı Çoklu Yolu Etkiliyor
Cihaz eşleyici çoklu yolu, tek başına veya CVE-2022-41973 ile birlikte kullanıldığında, yerel kullanıcıların kök erişim elde etmesini sağlar.
Bu durumda, erişim denetimlerinden kaçınılabilir ve çok yollu yapılandırma, UNIX etki alanı soketlerine yazma yeteneğine sahip yerel kullanıcılar tarafından değiştirilebilir.
Bu sorun, bitsel OR yerine aritmetik ADD kullanılmasının, bir anahtar kelimenin bir saldırgan tarafından tekrarlandığında yanlış işlenmesine neden olması nedeniyle ortaya çıkar. Root’a yerel ayrıcalık yükseltme bundan kaynaklanabilir.
CVE-2022-41974 ile birlikte, cihaz eşleyici-multipath, yerel kullanıcıların root erişimi elde etmesini sağlar. Ayrıca, uygun olmayan sembolik bağlantı kullanımı nedeniyle, /dev/shm’ye erişimi olan yerel kullanıcılar çoklu yoldaki sembolik bağlantıları değiştirebilir, bu da /dev/shm dizini dışında kontrollü dosya yazma işlemlerine neden olabilir. Bu nedenle, bu, yerel ayrıcalıkları köke yükseltmek için dolaylı olarak kullanılabilir.
Ayrıcalığı olmayan herhangi bir kullanıcı, Snapd güvenlik açığını iki Çok Yollu güvenlik açığıyla zincirleyerek güvenlik açığı bulunan bir cihaza root erişimi elde edebilir.
Qualys, “Qualys güvenlik araştırmacıları güvenlik açığını doğruladı, bir istismar geliştirdi ve Ubuntu’nun varsayılan kurulumlarında tam kök ayrıcalıkları elde etti” dedi.
Qualys güvenlik araştırmacıları, Ubuntu varsayılan kurulumlarında güvenlik açığını onayladılar, bir istismar geliştirdiler ve tam kök erişimi elde ettiler.
Güvenlik açığı uzaktan kullanılamasa da siber güvenlik şirketi, ayrıcalığı olmayan bir kullanıcı tarafından kullanılabileceği için güvenli olmadığına dair bir uyarı veriyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin