Yetkilendirmeleri işlemek için kullanılan ve varsayılan olarak yüklenen yazılımdaki (LPE) güvenlik açığının yerel ayrıcalık yükseltmesi, Linux’un çoğu büyük dağıtımında kullanılması önemsizdir; bir araştırmacı, yalnızca kusurun ayrıntılı bir açıklamasından saldırıyı zaten yeniden yaratmaktadır. .
Güvenlik açığı, güvenlik açığı yönetimi şirketi Qualys tarafından yayınlanan bir danışma belgesine göre, Fedora, Ubuntu, Debian ve CentOS dahil olmak üzere çeşitli Linux dağıtımlarının varsayılan kurulumunda bulunan ve daha önce PolicyKit olarak bilinen polkit’i etkiliyor. sorun. Güvenlik açığından yararlanmak, herhangi bir kullanıcının sistemde kök ayrıcalıkları kazanmasına olanak tanır. Güvenlik araştırmacıları, Linux yöneticilerinin, özellikle de çok kullanıcılı Linux sistemlerinin sahiplerinin bu kusuru derhal düzeltmesini önerdiler.
Qualys’in güvenlik açığı ve tehdit araştırması direktörü Bharat Jogi, Qualys’in PwnKit olarak adlandırdığı istismarı tetiklemenin ne kadar kolay olduğu ve Linux dağıtımlarının işletmelerde ve bulut platformlarında ne kadar yaygın olarak kullanıldığı nedeniyle güvenlik açığının çok ciddi olduğunu söylüyor.
“Günümüzün BT altyapısının büyük bir yüzdesi Linux ve diğer açık kaynak teknolojilerinde çalıştırılıyor. İşletim sisteminin her yerde bulunması nedeniyle, bulunan güvenlik açıkları oldukça ciddi olma eğiliminde” diyor. “PwnKit, 12 yıldan fazla bir süredir, güvenlik açığının yayınlanmasından sadece birkaç saat sonra, araştırmacılar kendi açıklarını oluşturup yayınlayacak kadar önemsiz bir istismarla göz önünde saklanıyor.”
Dün akşama kadar, Hırvat penetrasyon test cihazı Bojan Zdrnja, istismarı yeniden üretmişti. Qualys tarafından yayınlanan kusurun açıklaması. Zdrnja, istismarın oluşturulmasının basit olduğunu ve “%100 güvenilir” olduğunu belirtti. SANS Enstitüsü’nün InfoSec İşleyicileri Günlüğünde bir gönderi.
“Bunu başarıyla yeniden oluşturdum … tam yamalı bir Ubuntu 20.04 sisteminde yürütüldüğü yerde – polkit yamaları kurulmadan (sic), neyse ki çoktan çıktı” diye yazdı. “İstismarın yakında herkese açık hale gelmesini ve saldırganların bundan yararlanmaya başlamasını bekliyoruz – bu özellikle kullanıcılara kabuk erişimine izin veren çok kullanıcılı sistemler için tehlikelidir.”
Geçmişte, polkit sorunu gibi LPE güvenlik açıkları, uzaktan istismar edilemedikleri için ikinci sınıf güvenlik açıkları olarak kabul edildi. Ancak, saldırıların bir sistemi tehlikeye atmak için giderek artan bir şekilde bir açıklardan yararlanma zinciri gerektirdiğini ve LPE sorunlarının bu zincirin kritik bir parçası olduğunu söylüyor, Trend Micro’nun bir üçüncü taraf hata ödül programı olan Zero Day Initiative’in (ZDI) iletişim müdürü Dustin Childs.
“Yerel ayrıcalık yükseltme hataları ciddiye alınmalıdır. Bu hatalar hedef sisteme önceden erişim gerektirse de, bir sistemi ele geçirmek için genellikle kod yürütme hatalarıyla eşleştirilir” diyor. “Bu tür hatalar genellikle kötü amaçlı yazılımlar ve fidye yazılımları tarafından kullanılır ve ciddiye alınmalıdır.”
PwnKit, polkit’in ana yürütülebilir dosyası pkexec’in bağımsız değişkenleri işleme biçimindeki bir bellek güvenlik açığından yararlanır. Qualys, hiçbir argüman göndermediğinde, programın istismar edilebilecek bir duruma yerleştirildiğini söyledi. Güvenlik açığı, Ortak Güvenlik Açığı Numaralandırma (CVE) sistemi altında CVE-2021-4034 olarak atanmıştır.
Qualys’ten Jogi, yazılımın varsayılan olarak yüklenmiş olmasının, güvenlik açığının yaygın bir risk oluşturduğu anlamına geldiğini söylüyor.
“Bu güvenlik açıkları, Linux ve açık kaynak teknolojilerini güvence altına almanın öneminin altını çizmeye devam ediyor” diyor. “Bunu yapmamak, her sektördeki – kamu ve özel – ve her sektördeki işletmelerin ve kuruluşların kritik varlıklarını açığa çıkarabilir.”
Trustwave SpiderLabs kıdemli güvenlik araştırma müdürü Karl Sigler, kapsayıcılı uygulamalar ve sanal sistemler genellikle Linux üzerinde çalıştığından, sorunun çeşitli uygulamaları destekleyen bulut altyapısını bile etkileyebileceğini söylüyor.
“Etkilenen bir Linux sistemini çalıştıran herhangi bir bulut tabanlı sistem buna karşı savunmasız olacaktır ve eğer hiper yöneticinin kendisi Linux tabanlıysa, bu, hiper yöneticinin altındaki tüm sanal sistemleri riske atabilir” diyor.
Qualys’ten Jogi, sorunun hem kurumsal hem de bulut ortamlarında, özellikle de kabuk erişimine izin veren tüm çok kullanıcılı ortamlarda düzeltilmesi gerektiğini söylüyor.
Zafiyet 2009’dan beri polkit’te olsa da, Linux dağıtımları en güvenli işletim sistemlerinden biri olmaya devam ediyor. Bununla birlikte, Jogi, bir sonraki yaygın sorunun ne zaman bulunacağını asla bilemeyeceğinizden, şirketlerin kritik kusurları hızla düzeltmek için bir oyun kitabına sahip olmaları gerektiğinin altını çiziyor.
Jogi, “Açık kaynaklı yazılımları denetlemek, kapalı kaynaklı yazılımları denetlemekten çok daha kolay olsa da – çünkü zaman alan tersine mühendislik adımı gerekli değildir – güvenlik açıklarını keşfetmek için hala gümüş kurşun yoktur” diyor. “Araştırmacılar güvenlik açıklarını bulmak için gereken özeni göstermeye devam ederken, siber güvenlik uzmanları, düzeltmelere öncelik vermek ve organizasyonlarında yamalar yayınlamak için süreçler oluşturmalıdır.”