Kötü niyetli yerel saldırganlar, GNU C kütüphanesinde (diğer adıyla glibc) yeni açıklanan bir güvenlik açığından yararlanarak Linux makinelerinde tam kök erişimi elde edebilir.
CVE-2023-6246 olarak izlenen yığın tabanlı arabellek taşması güvenlik açığı, glibc’nin syslog() ve vsyslog() tarafından sistem günlüğe kaydetme amacıyla kullanılan __vsyslog_internal() işlevinden kaynaklanmaktadır. Ağustos 2022’de glibc 2.37’nin piyasaya sürülmesiyle yanlışlıkla tanıtıldığı söyleniyor.
Qualys Tehdit Araştırma Birimi ürün müdürü Saeed Abbasi, “Bu kusur yerel ayrıcalıkların yükseltilmesine olanak tanıyarak ayrıcalığı olmayan bir kullanıcının tam kök erişimi elde etmesine olanak tanıyor” dedi ve bunun Debian, Ubuntu ve Fedora gibi büyük Linux dağıtımlarını etkilediğini ekledi.
Bir tehdit aktörü, bu günlük tutma işlevlerini kullanan uygulamalara yönelik özel hazırlanmış girdiler aracılığıyla yükseltilmiş izinler elde etmek için bu kusurdan yararlanabilir.
“Güvenlik açığının istismar edilmesi için belirli koşulların (alışılmadık derecede uzun bir argv dosyası gibi) gerektirmesine rağmen[0] veya openlog() ident argümanı), etkilenen kütüphanenin yaygın kullanımı nedeniyle etkisi önemlidir.” diye belirtti Abbasi.
Siber güvenlik firması, glibc üzerinde yapılan ileri analizlerin, __vsyslog_internal() işlevinde iki kusuru (CVE-2023-6779 ve CVE-2023-6780) ve kütüphanenin qsort() işlevinde bellek bozulmasına yol açabilecek üçüncü bir hatayı ortaya çıkardığını söyledi.
Qsort()’ta bulunan güvenlik açığı, 1992’den bu yana yayımlanan tüm glibc sürümlerini etkiledi.
Bu gelişme, Qualys’in aynı kütüphanede Looney Tunables (CVE-2023-4911, CVSS puanı: 7,8) adı verilen ve ayrıcalık artışıyla sonuçlanabilecek başka bir yüksek önemdeki kusuru ayrıntılı olarak açıklamasından yaklaşık dört ay sonra gerçekleşti.
Abbasi, “Bu kusurlar, yazılım geliştirmede, özellikle de birçok sistem ve uygulamada yaygın olarak kullanılan çekirdek kütüphaneler için, sıkı güvenlik önlemlerine duyulan kritik ihtiyacın altını çiziyor.” dedi.