Saldırganlar, açık kaynaklı işletim sisteminin çoğu büyük dağıtımında kullanılan ortak bir kitaplıkta yeni keşfedilen, istismar edilmesi kolay bir arabellek taşması hatasından yararlanarak artık milyonlarca Linux sisteminde kök ayrıcalıkları kazanabiliyor. “Looney Tunables” olarak adlandırılan hata, hassas veriler için “hepsi bu kadar millet” anlamına gelebilir ve daha da kötü sonuçlara yol açabilir.
Qualys araştırmacıları Fedora, Ubuntu ve Debian’ın hata nedeniyle en fazla risk altında olan sistemler olduğunu (CVE-2023-4911 CVSS 7.8) söylüyor açıklığa kavuşmuş 3 Ekim’in sonlarında yayınlanan bir blog yazısında. Firmaya göre, Linux çekirdeğini çalıştıran çoğu sistemde bulunan GNU sistemindeki GNU C Kütüphanesinde (glibc) bulunuyor.
Glibc, tipik bir programın gerektirdiği sistem çağrılarını ve open, malloc, printf, çıkış vb. gibi diğer temel işlevleri tanımlayan bir kütüphanedir. Araştırmacılar, güvenlik açığının glibc’nin dinamik yükleyicisinin GLIBC_TUNABLES ortam değişkenini işleme biçiminde ortaya çıktığını ve dolayısıyla hataya adını verdiklerini söyledi.
Viakoo’daki Viakoo Labs başkan yardımcısı John Gallagher, Linux ortamında çalışan IoT cihazlarının, “özel işletim sistemlerinde Linux çekirdeğini yoğun şekilde kullanmaları nedeniyle” özellikle kusurdan yararlanmaya karşı son derece savunmasız olduğu konusunda uyarıyor. Bu, akıllı fabrikalar, dronlar ve robotlar gibi bağlantılı ekipmanlar ve çeşitli tüketici ekipmanları gibi gömülü ortamların özellikle risk altında olduğu anlamına geliyor.
Araştırmacılar, Fedora 37 ve 38, Ubuntu 22.04 ve 23.04 ile Debian 12 ve 13’ün varsayılan kurulumlarında tam kök ayrıcalıkları elde etmek için Nisan 2021’de koda eklenen kusurdan başarıyla yararlandılar. Ancak diğer dağıtımların da benzer şekilde etkilenmesi muhtemeldir. Qualys Tehdit Araştırma Birimi ürün müdürü Saeed Abbasi, gönderisinde Alpine Linux hariç “glibc yerine musl libc kullanılması nedeniyle” yazdı.
Dark Reading’e yaptığı açıklamada, kusurdan yararlanmanın (ki bunu yapmak hiç de zor değil), yetkisiz veri erişimi, sistem değişiklikleri ve potansiyel veri hırsızlığı gibi savunmasız Linux sistemlerine yönelik önemli risklere yol açtığını söylüyor.
“Sistem ve veri güvenliğine yönelik bu somut tehdit, güvenlik açığının otomatikleştirilmiş kötü amaçlı araçlara veya istismar kitleri ve botlar gibi yazılımlara dahil edilmesi olasılığıyla birleştiğinde, yaygın istismar ve hizmet kesintileri riskini artırıyor.” dedi Abbasi.
Araştırmacılar kusuru 4 Eylül’de Red Hat’e açıkladılar ve 19 Eylül’de OpenWall açık kaynak güvenlik projesine bir öneri ve yama gönderildi. Yama daha sonra 3 Ekim’de çeşitli Linux dağıtımlarıyla birlikte yayınlandı. Kırmızı şapka, ubuntu, Yukarı akış, DebianVe Gentoo hepsi kendi güncellemelerini yayınlıyor.
Glibc Güvenlik Hatası Neden Bu Kadar Tehlikeli?
Kusuru anlamak için, kütüphanenin programları hazırlamaktan ve çalıştırmaktan sorumlu kısmı olan glibc’nin dinamik yükleyicisinin önemini bilmek önemlidir; bu görevler, paylaşılan kütüphanelerin belirlenmesi ve tahsis edilmesinin yanı sıra bunları çalışma zamanında yürütülebilir dosyaya bağlamayı da içerir. Bu süreçte dinamik yükleyici, fonksiyon ve değişken referansları gibi sembol referanslarını da çözerek her şeyin programın yürütülmesi için ayarlanmasını sağlar.
Abbasi, gönderisinde şöyle açıkladı: “Rolü göz önüne alındığında, dinamik yükleyici, yerel bir kullanıcı bir kullanıcı kimliği belirleme veya grup kimliği belirleme programını başlattığında kodu yükseltilmiş ayrıcalıklarla çalıştığından, güvenlik açısından son derece hassastır.” Bu nedenle, kütüphanenin bu bileşeninin güvenliği ihlal edilirse, saldırgan sistemdeki bu ayrıcalıklardan da yararlanır.
GLIBC_TUNABLES ortam değişkeni, kullanıcıların kitaplığın davranışını çalışma zamanında değiştirmesine olanak tanıyarak uygulamayı veya kitaplığı yeniden derleme ihtiyacını ortadan kaldırır. Kullanıcılar GLIBC_TUNABLES’ı ayarlayarak çeşitli performans ve davranış parametrelerini ayarlayabilir ve bunlar daha sonra uygulama başlatıldığında uygulanır.
Abbasi, dinamik yükleyicinin geliştiriciler ve sistem yöneticileri için önemli bir araç olan GLIBC_TUNABLES ortam değişkenini işleme biçiminde bir arabellek taşması kusurunun sistem performansı, güvenilirlik ve güvenlik açısından önemli sonuçlar doğurduğunu söylüyor.
Şimdi Yama Yapın, Sık Sık Yama Yapın
Bu potansiyel sonuçlar, araştırmacıların istismarlarını yayınlamamayı tercih etmelerine rağmen, derhal yama uygulanmasının aciliyetini artırıyor. Ancak bir yayın yayınladılar teknik arıza güvenlik açığından.
Abbasi, “Doğal ortamda belirgin bir sömürü olmasa bile, savunmasızlığın kapsamlı bir şekilde anlaşılması ve önleyici savunmaların hazırlanması, özellikle de sömürüldükten sonra devreye giren yüksek riskler göz önüne alındığında, çok önemli hale geliyor” diyor.
Aslında arabellek taşmasının salt veri saldırısına dönüştürülme kolaylığı göz önüne alındığında Qualys, diğer araştırma ekiplerinin yakında Looney Tunables için açıklardan yararlanabileceklerini ve yayınlayabileceklerini öngörüyor. Bu, “kuruluşların, sistemlerini ve verilerini glibc’deki bu güvenlik açığı nedeniyle potansiyel tehlikeye karşı korumak için son derece dikkatli hareket etmeleri gerektiği” anlamına geliyor, diye tavsiyede bulundu.
Viakoo Labs’tan Gallagher, “Farklı IoT cihaz üreticilerinin yama üretmek için farklı programlara sahip olmasının yanı sıra, tüm cihazların iyileştirilmesini sağlamak için uzun bir süreç de olacak” diyor. “Bununla etkili bir şekilde başa çıkabilmek için kuruluşların tüm varlıklarının, BT’lerinin, IoT’lerinin ve uygulamalarının ayrıntılı bir envanterine sahip olmaları gerekir.”