Yeni bir Linux NetFilter çekirdek kusuru keşfedildi ve bu, ayrıcalığı olmayan yerel kullanıcıların ayrıcalıklarını kök düzeyine yükselterek bir sistem üzerinde tam kontrole izin veriyor.
CVE-2023-32233 tanımlayıcısı güvenlik açığı için ayrılmıştır, ancak önem derecesi henüz belirlenmemiştir.
Güvenlik sorunu, Netfilter nf_tables’ın yapılandırmasında geçersiz güncellemeleri kabul etmesinden kaynaklanır ve geçersiz toplu isteklerin alt sistemin iç durumunun bozulmasına yol açtığı belirli senaryolara izin verir.
Netfilter, IPtables ve UFW gibi ön uç yardımcı programları aracılığıyla yönetilen, Linux çekirdeğinde yerleşik bir paket filtreleme ve ağ adresi çevirisi (NAT) çerçevesidir.
Dün yayınlanan yeni bir danışma belgesine göre, sistemin dahili durumunu bozmak, çekirdek belleğinde keyfi okuma ve yazma işlemleri gerçekleştirmek için kullanılabilen bir kullanım sonrası güvenlik açığına yol açıyor.
Openwall posta listesinde yayın yapan güvenlik araştırmacılarının ortaya koyduğu gibi, CVE-2023-32233’ün istismarını göstermek için bir kavram kanıtı (PoC) istismarı yaratıldı.
Araştırmacı, mevcut kararlı sürüm v6.3.1 dahil olmak üzere birden çok Linux çekirdeği sürümünü etkilediğini belirtiyor. Ancak güvenlik açığından yararlanmak için öncelikle bir Linux cihazına yerel erişimin olması gerekir.
Netfilter nf_tables alt sistemindeki anonim kümelerin yaşam döngüsünü yöneten iki işlevi tanıtarak, mühendis Pablo Neira Ayuso tarafından sorunu çözmek için bir Linux çekirdeği kaynak kodu taahhüdü gönderildi.
Anonim kümelerin etkinleştirilmesini ve devre dışı bırakılmasını düzgün bir şekilde yöneten ve daha fazla güncellemeyi önleyen bu düzeltme, bellek bozulmasını ve saldırganların ayrıcalıklarını kök düzeyine yükseltmek için ücretsiz kullanımdan sonra kullanma olasılığını önler.
İstismar yakında kamuoyuna duyurulacak
Sorunu keşfeden ve Linux çekirdek ekibine bildiren güvenlik araştırmacıları Patryk Sondej ve Piotr Krysiuk, ayrıcalıksız yerel kullanıcıların etkilenen sistemlerde bir kök kabuk başlatmasına izin veren bir PoC geliştirdi.
Araştırmacılar, bir düzeltme geliştirmelerine yardımcı olmak için istismarlarını özel olarak Linux çekirdek ekibiyle paylaştılar ve kullanılan istismar tekniklerinin ayrıntılı bir açıklamasına ve PoC’nin kaynak koduna bir bağlantı eklediler.
Analistlerin daha fazla açıkladığı gibi, istismar, istismar teknikleriyle ilgili tüm ayrıntılarla birlikte önümüzdeki 15 Mayıs 2023 Pazartesi günü yayınlanacak.
“Linux-distros listesi politikasına göre, istismarın bu danışma belgesinden itibaren 7 gün içinde yayınlanması gerekir. Bu politikaya uymak için, 15 Pazartesi günü hem istismar tekniklerinin açıklamasını hem de istismar kaynak kodunu yayınlamayı düşünüyorum. ” Openwall posta listesine bir gönderi okur.
Linux sunucularında kök düzeyinde ayrıcalıklar elde etmek, saldırılarında kullanmak üzere yeni güvenlik bilgileri için Openwall’u izlediği bilinen tehdit aktörleri için değerli bir araçtır.
CVE-2023-32233 için hafifletici bir faktör, uzaktaki saldırganların bundan yararlanmak için önce bir hedef sisteme yerel erişim sağlaması gerektiğidir.