Ubuntu Linux’un ayrıcalıklı kullanıcı ad alanı kısıtlamalarındaki üç kritik baypas, yerel saldırganların ayrıcalıkları artırmasına ve çekirdek güvenlik açıklarını kullanmasına izin verir.
Bu bypass, ad alanı kötüye kullanımını sınırlamak için apparm tabanlı korumaların tanıtıldığı Ubuntu 23.10 ve 24.04 LTS sistemlerini etkiler.
Tam sistem kontrolü bağımsız olarak vermese de, Cap_sys_admin veya cap_net_admin gibi idari ayrıcalıklar gerektiren çekirdek kusurları ile birleştirildiğinde güçlü hale gelirler.
Ubuntu kullanıcı ad alanı bypass teknikleri
Qualys Tehdit Araştırma Birimi (TRU) Danışma, Ubuntu’nun, müstehcen olmayan kullanıcıların izole ortamlarda idari yetenekler kazanmasını önlemek için tasarlanan kullanıcı ad alanı kısıtlamalarının üç yöntemle atıldığını okur:
AA-EXEC aracılığıyla baypas
Varsayılan olarak yüklenen AA-EXEC aracı, izin veren apparmer profillerine (örneğin, Trinity, Chrome veya Flatpak) geçiş yapmasına izin verir. Saldırganlar, Share komutunu yürütmek ve sınırsız ad alanları oluşturmak için bunu kullanabilir:
Bu, Ubuntu’nun kısıtlamalarını atlayarak ad alanında tam yetenekler verir.
Meşgul Kutusu aracılığıyla baypas
Varsayılan meşgul kutusu kabuğunun apparmer profili sınırsız ad alanı oluşturulmasına izin verir. Saldırganlar bir kabukla meşgul kutusu aracılığıyla bir kabuk doğurur ve yürütür:
Bu yöntem hem Ubuntu sunucusu hem de masaüstü kurulumlarında etkilidir.
LD_PRELOAD aracılığıyla baypas
Kötü niyetli bir paylaşılan kütüphaneyi Nautilus (Gnome’un dosya yöneticisi) gibi güvenilir süreçlere enjekte ederek, saldırganlar izin veren profilleri kullanır:
Kütüphane, bu süreç içinde bir kabuk ortaya çıkararak ayrıcalıklı ad alanı oluşturmayı mümkün kılar.
Güvenlik Açıkları Öncelikle Etkisi:
- Ubuntu 24.04 LTS: Varsayılan olarak etkinleştirilen kısıtlamalar.
- Ubuntu 23.10: Kısıtlamalar var, ancak manuel aktivasyon gerektiriyor.
Konteynerizasyon ve kum havuzu için hayati olan kullanıcı ad alanları, yanlış yapılandırıldığında çekirdek saldırısı yüzeylerini ortaya çıkarır.
Araştırmacılar, bu bypass’ların tek başına sistemden ödün vermemesine rağmen, bellek bozulması veya yarış koşulları gibi çekirdek güvenlik açıklarından yararlanma engelini düşürdüklerini vurguladılar.
Canonical, sınırlamaları kabul etti, ancak bunları kritik güvenlik açıklarından ziyade derinlemesine savunma zayıflıkları olarak sınıflandırdı. Az hafifletmeler şunları içerir:
Çekirdek parametre ayarı:
AA-EXEC istismarını engellemek için çekirdek.apparmor_resrescrict_unprivileged_unconfined = 1 etkinleştir:
Profil Sertleştirme:
Meşgul kutusu ve nautilus için geniş apparmo profillerini devre dışı bırakın:
Daha katı Bwrap profilleri:
BWRAP’a dayanan uygulamalar için granüler ad alanı kontrolleri uygulayın (örn. Flatpak).
Yöneticiler profilleri AA statüsü kullanarak denetleyebilir ve standart Ubuntu kanalları üzerinden güncellemeler uygulayabilir, ancak düzeltmeler acil durum yamaları olarak hızlandırılmayacaktır.
Qualys, çekirdek parametrelerini uygulamak ve savunmasız profilleri devre dışı bırakmak için önceden test edilmiş komut dosyaları sağlayarak, santralleri azaltma platformunu, merkezi azaltma dağıtım için Qualys ajanlarıyla entegrasyon ve yama yapmadan kritik varlıklar için risk izolasyonu sunar.
Bu keşif, Linux dağıtımlarında kullanılabilirlik ve güvenliği dengelemenin zorluklarının altını çizmektedir. Ubuntu’nun proaktif önlemleri endüstri ölçütlerini belirlerken, baypalar derinlemesine savunma mekanizmalarının yanlışlıkla karmaşıklığı nasıl getirebileceğini vurgulamaktadır.
Çekirdek seviyesi istismarları yükseldikçe, trurisk gibi çözümler ortadan kaldırılır ve hızlı sertleştirme uygulamaları, güvenlik ile birlikte çalışma süresine öncelik vermek için işletmeler için kritik öneme sahiptir.
Qualys ve Canonical, gelecekteki Ubuntu sürümlerinde beklenen güncellemelerle uzun vadeli apparmer iyileştirmeleri üzerinde işbirliği yapmaya devam ediyor. Şimdilik, yöneticiler savunmasız sistemleri korumak için hafifletmeler manuel olarak uygulamalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free