CISA Perşembe günü, Linux çekirdeğindeki yüksek önem derecesine sahip bir ayrıcalık yükseltme kusurunun artık fidye yazılımı saldırılarında istismar edildiğini doğruladı.
Güvenlik açığı (CVE-2024-1086 olarak izlenir) 31 Ocak 2024’te netfilter: nf_tables çekirdek bileşenindeki serbest kullanımdan sonra kullanılabilen bir zayıflık olarak açıklanmış ve Ocak 2024’te gönderilen bir taahhütle düzeltilmiş olsa da, ilk olarak Şubat 2014’te on yıllık bir taahhütle ortaya çıktı.
Başarılı bir şekilde yararlanma, yerel erişime sahip saldırganların hedef sistemdeki ayrıcalıkları yükseltmesine olanak tanır ve bu da potansiyel olarak güvenliği ihlal edilmiş cihazlara kök düzeyinde erişimle sonuçlanır.
Immersive Labs’ın açıkladığı gibi, potansiyel etki, root erişimi kazanıldığında sistemin ele geçirilmesini (saldırganların savunmayı devre dışı bırakmasına, dosyaları değiştirmesine veya kötü amaçlı yazılım yüklemesine olanak tanır), ağ üzerinde yanal hareketi ve veri hırsızlığını içerir.
Mart 2024’ün sonlarında, ‘Notselwyn’ takma adını kullanan bir güvenlik araştırmacısı, GitHub’da CVE-2024-1086’yı hedefleyen ayrıntılı bir yazı ve kavram kanıtlama (PoC) yararlanma kodu yayınladı ve 5.14 ile 6.6 arasındaki Linux çekirdek sürümlerinde yerel ayrıcalık yükseltmenin nasıl elde edileceğini gösterdi.
Bu kusur, 3.15’ten 6.8-rc1’e kadar çekirdek sürümlerini kullanan Debian, Ubuntu, Fedora ve Red Hat dahil ancak bunlarla sınırlı olmamak üzere birçok büyük Linux dağıtımını etkiliyor.
Fidye yazılımı saldırılarında istismar edildiği şeklinde işaretlendi
ABD siber güvenlik kurumu, vahşi doğada istismar edilen güvenlik açıkları kataloğuna Perşembe günü yapılan bir güncellemede, kusurun artık fidye yazılımı kampanyalarında kullanıldığı bilindiğini ancak devam eden istismar girişimleri hakkında daha fazla bilgi sağlamadığını söyledi.
CISA, bu güvenlik kusurunu Mayıs 2024’te Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve federal kurumlara sistemlerini 20 Haziran 2024’e kadar güvenceye almalarını emretti.
Düzeltme eki uygulamak mümkün değilse BT yöneticilerinin aşağıdaki azaltıcı önlemlerden birini uygulaması önerilir:
- İhtiyaç duyulmuyorsa/aktif olarak kullanılmıyorsa ‘nf_tables’ı engelleyin,
- Saldırı yüzeyini sınırlamak için kullanıcı ad alanlarına erişimi kısıtlayın,
- Linux Çekirdek Çalışma Zamanı Koruması (LKRG) modülünü yükleyin (ancak bu, sistemin kararsızlığına neden olabilir).
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluşlar için önemli riskler oluşturuyor.” dedi. “Satıcının talimatlarına göre azaltımları uygulayın veya azaltıcı önlemler mevcut değilse ürünün kullanımını durdurun.”
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.