Donanım kimlik doğrulama güvenlik anahtarlarının lider sağlayıcısı Yubico, yakın zamanda PAM (Takılabilir Kimlik Doğrulama Modülü) yazılım paketinde önemli bir güvenlik açığını açıkladı.
“CVE-2025-23013” olarak tanımlanan kusur, potansiyel olarak saldırganların belirli yapılandırmalarda kimlik doğrulamadan kaçmasına izin verebilir.
Güvenlik sorunu, “pam-u2f” yazılım paketinin 1.3.1’den önceki sürümlerini etkilemektedir.
Bu açık kaynaklı modül, macOS ve Linux sistemlerinde YubiKeys veya diğer FIDO uyumlu kimlik doğrulayıcıları kullanarak kimlik doğrulamayı desteklemek üzere tasarlanmıştır.
Yubico’daki araştırmacılar güvenlik açığının tüm önemli noktalarına dikkat çekti:
- Kusur, pam_sm_authenticate() işlevinin uygulanmasında yatmaktadır.
- Bellek ayırma hataları veya ayrıcalık değişikliği sorunları gibi belirli koşullar altında modül PAM_IGNORE değerini döndürür.
- PAM_IGNORE döndürüldüğünde modül nihai kimlik doğrulama kararına katkıda bulunmaz.
- “nuserok” seçeneğinin etkin olduğu yapılandırmalarda, pam-u2f dosyası eksik veya bozuksa PAM_SUCCESS döndürülür.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Etki ve Şiddet
Yubico, bu güvenlik açığını CVSS puanı 7,3 ile “Yüksek” olarak derecelendirdi. Etki, spesifik konfigürasyona bağlı olarak değişir:-
- Kullanıcı tarafından yönetilen kimlik doğrulama dosyalarıyla pam-u2f’nin tek faktörlü kimlik doğrulama yöntemi olarak kullanıldığı senaryolarda, saldırganlar yerel ayrıcalık yükseltme potansiyeline sahip olabilir.
- İkinci faktör kimlik doğrulaması olarak pam-u2f’ye sahip merkezi olarak yönetilen kimlik doğrulama dosyaları için, kimlik doğrulama olayları sırasında ikinci faktör atlanabilir.
Yubico, etkilenen müşterilerin aşağıdaki önlemleri almasını şiddetle tavsiye eder: –
- Doğrudan GitHub’dan indirerek veya Yubico PPA aracılığıyla güncelleyerek pam-u2f’nin en son sürümüne yükseltin.
- Libpam kullanıcıları için alternatif bir çözüm, “nuserok” seçeneğini devre dışı bırakmak ve PAM yığınındaki tüm pam-u2f referansları için “kötü” eylemiyle “yoksay” kontrol değerlerini işaretlemektir.
Hiçbir Yubico donanım cihazının bu güvenlik açığından etkilenmediğini unutmamak önemlidir. Bu, aşağıdakilerin tüm nesillerini içerir: –
- YubiKey Serisi
- YubiKey FIPS Serisi
- Güvenlik Anahtarı Serisi
- YubiHSM
- YubiHSM FIPS cihazları
Güvenlik açığı, 11 Kasım 2024’te SUSE güvenlik ekibinden Matthias Gerstner tarafından Yubico’ya sorumlu bir şekilde bildirildi. Yubico o zamandan beri sorunu çözmek ve bu danışma belgesini yayınlamak için derhal çalıştı.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri