Yubico, Linux ve macOS platformları için iki faktörlü kimlik doğrulamayı (2FA) destekleyen yazılım modülündeki bir güvenlik açığını vurgulayan YSA-2025-01 adlı bir güvenlik danışma belgesi yayınladı. CVE-2025-23013 olarak takip edilen bu sorun, YubiKeys veya diğer FIDO uyumlu kimlik doğrulayıcıları kullanırken kısmi 2FA bypass korumasına izin veriyor. Güvenlik açığı yüksek riskli bir güvenlik tehdidi oluşturuyor ve Yubico’nun açık kaynaklı pam-u2f yazılımına güvenen kullanıcılar için kimlik doğrulama süreçlerini potansiyel olarak tehlikeye atabilir.
Yubico’nun, YubiKey ve diğer FIDO uyumlu cihazları Linux ve macOS sistemleriyle entegre etmek için kullanılan bir Takılabilir Kimlik Doğrulama Modülü (PAM) olan pam-u2f yazılım paketi, bazı yapılandırmalarda 2FA bypassına yol açabilecek bir güvenlik açığı içerir. Bu kusur öncelikle pam-u2f’nin 1.3.1’den önceki sürümlerini çalıştıran ve kimlik doğrulama işleminin belirli hataları doğru şekilde işlemediği sistemleri etkiler. Özellikle sistem, bellek ayırma hataları veya gerekli dosyaların bulunmaması gibi sorunlarla karşılaştığında, pam-u2f modülü uygun kimlik doğrulama kontrollerini tetikleyemeyebilir.
2FA Baypas Güvenlik Açığı
2FA atlama güvenlik açığı, kimlik doğrulama akışını yönetmekten sorumlu olan pam_sm_authenticate() işlevinde ortaya çıkar. Belleğin tahsis edilememesi veya ayrıcalık yükseltme sorunları gibi belirli koşullar oluştuğunda, işlev şu yanıtı döndürür: PAM_IGNORE. Bu, doğrulanması gereken senaryolarda 2FA’yı atlayarak sistemin kimlik doğrulama sürecini doğru şekilde tamamlamasını engeller.
Ek olarak, eğer nouserok yapılandırmada seçenek etkin, pam-u2f geri dönebilir PAM_SUCCESS kimlik doğrulama dosyası eksik veya bozuk olsa bile. Bu, özellikle 2FA’nın birincil veya ikincil kimlik doğrulama faktörü olarak ayarlandığı yapılandırmalarda kritik bir risk oluşturur.
Bu Kullanıcılar İçin Ne İfade Ediyor?
Güvenlik açığı öncelikle pam-u2f’yi apt veya manuel kurulum gibi yöntemlerle Linux veya macOS sistemlerine kuran kullanıcıları etkiliyor. Özellikle pam-u2f’nin 1.3.1’den önceki sürümlerine sahip kullanıcılar bu soruna karşı savunmasızdır; bu durum, sistemin 2FA korumalarının atlanması durumunda yetkisiz erişime yol açabilir. Ancak YubiKey cihazları da dahil olmak üzere 2FA için kullanılan hiçbir donanım bu güvenlik açığından etkilenmez. Sorun, donanım güvenlik anahtarlarında değil, tamamen yazılım yapılandırmasında yatmaktadır.
Yubico, güvenlik açığını azaltmak için etkilenen tüm müşterilerin pam-u2f’nin en son sürümüne hemen yükseltme yapmalarını önerdi. Kullanıcılar en son sürümü doğrudan Yubico’nun GitHub deposundan indirebilir veya Yubico’nun Kişisel Paket Arşivi (PPA) aracılığıyla güncelleyebilir.
Farklı Yapılandırmalar Nasıl Etkilenir?
Güvenlik açığının ciddiyeti sistem yapılandırmasına bağlı olarak değişir. Örneğin:
- Kullanıcı Tarafından Yönetilen Kimlik Doğrulama Dosyasıyla Tek Faktörlü Kimlik Doğrulama: Pam-u2f’nin tek faktör olarak kullanıldığı ve kimlik doğrulama dosyasının kullanıcının ana dizininde yer aldığı bu senaryoda, bir saldırgan kimlik doğrulama dosyasını kaldırabilir veya bozabilir. Bu, pam-u2f’nin PAM_SUCCESS döndürmesine neden olarak yetkisiz erişime izin verir ve kullanıcının sudo erişimi varsa ayrıcalıkların potansiyel olarak yükselmesine neden olur. Bu senaryoya, ciddiyetin yüksek olduğunu gösteren 7,3 CVSS puanı verilmiştir.
- Merkezi Olarak Yönetilen Kimlik Doğrulama Dosyası ile İki Faktörlü Kimlik Doğrulama: İki faktörlü kimlik doğrulama için kullanıcının parolasıyla birlikte pam-u2f kullanılıyorsa, güvenlik açığı, bellek ayırma hatası veya gerekli dosyaların eksikliği nedeniyle tetiklenebilir. Bu durumda ikinci kimlik doğrulama faktörü doğrulamada başarısız olabilir ve sistemi saldırılara açık bırakabilir. Bu senaryonun CVSS puanı 7,1’dir.
- Pam-u2f’nin Diğer PAM Modülleriyle Tek Kimlik Doğrulama Faktörü Olarak Kullanımı: Pam-u2f, kimlik doğrulama gerçekleştirmeyen diğer PAM modülleriyle birlikte kullanıldığında, PAM_IGNORE yanıt herhangi bir kimlik doğrulamanın gerçekleşmesini engelleyecektir. Kullanıcının yönetici ayrıcalıkları varsa bu, yerel ayrıcalıkların yükselmesine neden olabilir. Bu senaryo aynı zamanda 7,3 CVSS puanına da sahiptir.
Çözüm
Yubico, etkilenen müşterilerin 2FA bypass güvenlik açığına karşı koruma sağlamak için pam-u2f’nin en son sürümüne hemen yükseltme yapmalarını ve hemen güncelleme yapamayanlar için alternatif hafifletme önlemlerinin sunulmasını talep ediyor. Bu danışma belgesi, iki faktörlü kimlik doğrulamanın (2FA) sistemlerin güvenliğini sağlamadaki önemli rolünü vurgularken aynı zamanda 2FA çözümlerindeki güvenlik açıklarının hâlâ risk oluşturabileceğini gösteriyor.
İlgili