Ayrıcalıksız saldırganlar, GNU C Kütüphanesinde (glibc) yeni açıklanan bir yerel ayrıcalık yükseltme (LPE) güvenlik açığından yararlanarak, varsayılan yapılandırmalardaki birden fazla ana Linux dağıtımında kök erişimi elde edebilir.
CVE-2023-6246 olarak izlenen bu güvenlik açığı, glibc’nin, sistem mesaj günlükçüsüne mesaj yazmak için yaygın olarak kullanılan syslog ve vsyslog işlevleri tarafından çağrılan __vsyslog_internal() işlevinde bulundu.
Hata, Ağustos 2022’de yanlışlıkla glibc 2.37’de ortaya çıkan ve daha sonra CVE-2022-39046 olarak izlenen daha az ciddi bir güvenlik açığı giderilirken glibc 2.36’ya desteklenen yığın tabanlı arabellek taşması zayıflığından kaynaklanıyor.
Qualys güvenlik araştırmacıları, “Arabellek taşması sorunu, yerel ayrıcalık artışına izin verebileceğinden ve ayrıcalığı olmayan bir kullanıcının, bu günlük tutma işlevlerini kullanan uygulamalara özel hazırlanmış girişler yoluyla tam kök erişimi elde etmesine olanak tanıdığından önemli bir tehdit oluşturuyor” dedi.
“Güvenlik açığının istismar edilmesi için belirli koşulların (alışılmadık derecede uzun bir argv dosyası gibi) gerektirmesine rağmen[0] veya openlog() ident argümanı), etkilenen kütüphanenin yaygın kullanımı nedeniyle etkisi önemlidir.”
Debian, Ubuntu ve Fedora sistemlerini etkiler
Bulgularını test ederken Qualys, Debian 12 ve 13, Ubuntu 23.04 ve 23.10 ve Fedora 37 ila 39’un CVE-2023-6246 açıklarından yararlanmaya karşı savunmasız olduğunu ve ayrıcalığı olmayan herhangi bir kullanıcının varsayılan kurulumlarda ayrıcalıkları tam kök erişimine yükseltmesine izin verdiğini doğruladı.
Her ne kadar testleri bir avuç dağıtımla sınırlı olsa da araştırmacılar “diğer dağıtımların da muhtemelen sömürülebileceğini” eklediler.
Glibc’yi diğer potansiyel güvenlik sorunları açısından analiz ederken araştırmacılar ayrıca üç güvenlik açığı daha buldu; bunlardan ikisi (istismar edilmesi daha zor) __vsyslog_internal() işlevinde (CVE-2023-6779 ve CVE-2023-6780) ve üçüncüsü (a) glibc’nin qsort () işlevinde bellek bozulması sorunu hala CVEID’yi bekliyor.
Qualys’in Tehdit Araştırma Birimi Ürün Müdürü Saeed Abbasi, “Bu kusurlar, özellikle birçok sistem ve uygulamada yaygın olarak kullanılan çekirdek kitaplıklar için, yazılım geliştirmede sıkı güvenlik önlemlerine duyulan kritik ihtiyacın altını çiziyor” dedi.
Qualys tarafından bulunan diğer Linux root yükseltme kusurları
Geçtiğimiz birkaç yılda Qualys’teki araştırmacılar, saldırganların varsayılan yapılandırmalarda bile yama yapılmamış Linux sistemleri üzerinde tam kontrol sahibi olmalarına olanak tanıyan başka Linux güvenlik açıkları da buldular.
Keşfettikleri güvenlik açıkları arasında glibc’nin ld.so dinamik yükleyicisindeki bir kusur (Looney Tunables), biri Polkit’in pkexec bileşeninde (PwnKit olarak adlandırılır), bir diğeri Kernel’in dosya sistemi katmanında (Sequoia olarak adlandırılır) ve Sudo Unix programında (diğer adıyla Baron Samedit) yer alır. .
Looney Tunables kusurunun (CVE-2023-4911) ifşa edilmesinden günler sonra, kavram kanıtlama (PoC) açıkları çevrimiçi olarak yayınlandı ve tehdit aktörleri bir ay sonra Kinsing kötü amaçlı yazılımında bulut hizmet sağlayıcısı (CSP) kimlik bilgilerini çalmak için bunu kullanmaya başladı saldırılar.
Kinsing çetesi, Kubernetes, Docker API’leri, Redis ve Jenkins sunucuları da dahil olmak üzere güvenliği ihlal edilmiş bulut tabanlı sistemlere kripto para birimi madenciliği kötü amaçlı yazılımlarını dağıtmasıyla biliniyor.
CISA daha sonra ABD federal kurumlarına Linux sistemlerini CVE-2023-4911 saldırılarına karşı korumalarını emretti ve bunu aktif olarak yararlanılan hatalar kataloğuna ekledikten ve “federal kuruluş için önemli riskler” oluşturduğunu etiketledi.