‘ olarak bilinen yeni bir Linux güvenlik açığıLooney Tuables‘ yerel saldırganların, GNU C Kütüphanesinin ld.so dinamik yükleyicisindeki arabellek taşması zayıflığından yararlanarak kök ayrıcalıkları elde etmelerini sağlar.
GNU C Kütüphanesi (glibc), GNU sisteminin C kütüphanesidir ve çoğu Linux çekirdeği tabanlı sistemde bulunur. Tipik program yürütülmesi için gerekli olan open, malloc, printf, çıkış ve diğerleri gibi sistem çağrıları dahil olmak üzere temel işlevleri sağlar.
Glibc içindeki dinamik yükleyici, glibc kullanan Linux sistemlerinde program hazırlanmasından ve yürütülmesinden sorumlu olduğundan son derece önemlidir.
Qualys Tehdit Araştırma Birimi tarafından keşfedilen kusur (CVE-2023-4911), Nisan 2021’de glibc 2.34’ün piyasaya sürülmesiyle, setuid programlarındaki SXID_ERASE davranışının düzeltilmesi olarak tanımlanan bir işlem aracılığıyla tanıtıldı.
Qualys’in Tehdit Araştırma Birimi Ürün Müdürü Saeed Abbasi, “Fedora, Ubuntu ve Debian gibi büyük dağıtımlarda tam kök ayrıcalıklarına yol açan başarılı kullanımımız, bu güvenlik açığının ciddiyetini ve yaygın yapısını vurguluyor” dedi.
“Şimdilik yararlanma kodumuzu saklı tutuyor olsak da, arabellek taşmasının yalnızca veri saldırısına dönüştürülme kolaylığı, diğer araştırma ekiplerinin yakında açıklardan yararlanıp yayınlayabileceği anlamına geliyor.
“Bu, özellikle Linux dağıtımlarında glibc’nin yaygın kullanımı göz önüne alındığında, sayısız sistemi riske atabilir.”
Yöneticilere yama uygulamasına öncelik verilmesi çağrısında bulunuldu
Güvenlik açığı, Debian 12 ve 13, Ubuntu 22.04 ve 23.04 ile Fedora 37 ve 38’in varsayılan kurulumlarında GLIBC_TUNABLES ortam değişkeni işlenirken tetiklenir (musl libc kullanan Alpine Linux etkilenmez).
Red Hat danışma belgesinde “GNU C Kütüphanesinin dinamik yükleyicisi ld.so’da GLIBC_TUNABLES ortam değişkeni işlenirken bir arabellek taşması keşfedildi” diye açıklıyor.
“Bu sorun, yerel bir saldırganın, yükseltilmiş ayrıcalıklarla kod yürütmek için SUID iznine sahip ikili dosyaları başlatırken kötü amaçla hazırlanmış GLIBC_TUNABLES ortam değişkenlerini kullanmasına izin verebilir.”
Düşük ayrıcalıklara sahip saldırganlar, kullanıcı etkileşimi gerektirmeyen, düşük karmaşıklıktaki saldırılarda bu yüksek önemdeki güvenlik açığından yararlanabilir.
Abbasi, “Fedora, Ubuntu ve Debian gibi popüler platformlarda tam kök erişimi sağlama yeteneği sayesinde sistem yöneticilerinin hızlı hareket etmesi zorunludur.” diye ekledi.
“Alpine Linux kullanıcıları rahat bir nefes alırken, diğerleri sistem bütünlüğünü ve güvenliğini sağlamak için yama uygulamaya öncelik vermelidir.”
Son yıllarda Qualys araştırmacıları, saldırganların birçok Linux dağıtımının varsayılan yapılandırmalarında kök ayrıcalıkları elde etmesine olanak tanıyan yüksek önem derecesine sahip diğer Linux güvenlik kusurlarını keşfetti.
Listede Polkit’in pkexec bileşeninde (PwnKit adı verilen) bir kusur, Kernel’in dosya sistemi katmanında (Sequoia adı verilen) ve Sudo Unix programında (diğer adıyla Baron Samedit) bir kusur yer alıyor.