Qualys Tehdit Araştırma Birimi (TRU), milyonlarca Linux sisteminde çekirdek döküm işleyicilerinin uygulanması ve SystemD çekirdeği olan iki önemli yerel bilgi açıklama güvenlik açıklarını (CVE-2025-5054 ve CVE-2025-4598) açıklamıştır.
Bu yarış koşulları güvenlik açıkları, Ubuntu, Red Hat Enterprise Linux (RHEL) ve Fedora gibi popüler dağılımlara gömülü kaza raporlama mekanizmalarını manipüle ederek yerel saldırganların şifre karmalar dahil yüksek derecede hassas verileri çıkarmalarını sağlayabilir.
Teknik Genel Bakış:
Her iki güvenlik açığı, çekirdek döküm işleyicilerinin SUID (Kullanıcı Kimliği Set) programlarının çökmelerini işleme biçiminde yarış koşullarından kaynaklanmaktadır.
.png
)
Ubuntu’nun varsayılan çarpışma raporlama aracı olan Apport (CVE-2025-5054) söz konusu olduğunda, yerel bir saldırgan, Apport kontrollerini tamamlamadan önce ayrıcalıklı bir süreci başka biriyle yerine koymak için işlem kimliği yeniden kullanımını ve Linux ad alanlarını kullanabilir.
Bu, saldırganın, parola karma gibi hassas bellek verilerini potansiyel olarak içeren çekirdek dökümü yeniden yönlendirmesini sağlar. /etc/shadow—Talta kontrollü bir ad alanı.
Benzer şekilde, CVE-2025-4598, RHEL 9/10 ve Fedora’daki varsayılan işleyici olan Systemd-Cororep’u hedefler.
Burada, bir saldırgan Suid bir işlemi çökertebilir ve onu kullanıcı olmayan bir süreçle hızla değiştirebilir ve Systemd-Corump’u ayrıcalıklı çekirdek dökümüne erişim sağlamak için kandırabilir.
Qualys’den Kavram Kanıtı (POC) kodu, çoğu Linux dağıtımında varsayılan olarak mevcut olan UNIX_CHKPWD işleminin, karma şifreleri sızdırmak için bu şekilde kullanılabileceğini göstermektedir.
Örnek Azaltma Komutu
Suid çekirdek çöplüklerini geçici olarak devre dışı bırakmak ve bu saldırı vektörlerini engellemek için yöneticiler yürütebilir:
bashecho 0 > /proc/sys/fs/suid_dumpable
Bu ayar, tüm Suid programlarının çekirdek döküm üretmesini, resmi yamalar yerleştirilinceye kadar sömürü penceresini kapatmasını önler.
Etkilenen sistemler, etki
Etkilenen sürümler:
- Katkı (CVE-2025-5054): Tüm Ubuntu sürümleri 16.04’ten 24.04’e, 2.33.0’a kadar olan uygulama sürümleriyle savunmasızdır.
- Systemd-Cororep (CVE-2025-4598): Fedora 40/41, RHEL 9 ve 10 etkilenir. Systemd-Corumpp manuel olarak yüklenmedikçe bir çekirdek döküm işleyicisi bulunmadığından Debian varsayılan olarak savunmasız değildir.
Potansiyel etki:
Bu güvenlik açıklarından yararlanan saldırganlar, işlem belleğinden hassas bilgileri (geçit kartı, şifreleme anahtarları veya tescilli veriler) çıkarabilir.
Bu, ayrıcalık artışına, ağlardaki yanal harekete, operasyonel kesinti süresine, itibar zararına ve düzenleyici uyumsuzluğa yol açabilir.
Azaltma ve yama rehberliği:
- Hemen azaltma: Ayarlamak
/proc/sys/fs/suid_dumpableile0Suid çekirdek dökümlerini engellemek için. Bu, SUID programları için hata ayıklamayı devre dışı bırakır, ancak yama hemen mümkün olmadığında önemli bir stopgap’tır. - Yama: Ubuntu, Red Hat ve Fedora yayınlandı veya güncellemeler hazırlıyorlar. Yöneticiler satıcı yamalarını en kısa sürede uygulamalıdır.
- Qualys Trurisk ™ ortadan kaldırın: Qualys Cloud Agent kullanan kuruluşlar, azaltma dağıtımını otomatikleştirmek ve güvenlik açığı yönetimini kolaylaştırmak, maruz kalma süresini ve operasyonel riski azaltmak için Trurisk ™ ortadan kaldırma modülünden yararlanabilir.
Proaktif Güvenlik: Dersler ve Sonraki Adımlar
Bu keşifler, çekirdek dökme işlemindeki kalıcı riskleri ve proaktif güvenlik açığı yönetiminin gerekliliğini vurgulamaktadır.
Çekirdek dökümler hata ayıklama için paha biçilmez olsa da, içerebilecekleri hassas veriler nedeniyle saldırganlar için yüksek değerli bir hedefi temsil ederler.
Güvenlik ekiplerine yamaya öncelik vermesi, geçici hafifletmeler uygulamaları ve yanıtlarını otomatikleştirmek ve hızlandırmak için Qualys Trurisk ™ ortadan kaldırma gibi entegre risk yönetimi araçlarını kullanmaları istenir.
Tehdit manzarası geliştikçe, sağlam izleme, erişim kontrolü ve hızlı olay yanıtı, kurumsal Linux ortamlarını ortaya çıkan sömürü tekniklerine karşı korumak için kritik öneme sahiptir.
Qualys Tru Tavsiyeleri ve Azaltma Senaryoları, kuruluşların bu güvenlik açıklarını hızlı ve etkili bir şekilde etkisiz hale getirmeleri için bir plan sağlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!