Looney Tunables olarak adlandırılan güvenlik açığı CVE-2023-4911’e yönelik kavram kanıtlama (PoC) açıkları, yaygın olarak kullanılan GNU C Kütüphanesi’nde (glibc) bulunan kritik arabellek taşması güvenlik açığının geçen hafta açıklanmasının ardından zaten geliştirildi. çeşitli Linux dağıtımlarında.
Bağımsız güvenlik araştırmacısı Peter Geissler; Carnegie Mellon Yazılım Mühendisliği Enstitüsü’nde yazılım güvenlik açığı analisti olan Will Dormann; ve Eindhoven Teknoloji Üniversitesi’ndeki Hollandalı bir siber güvenlik öğrencisi yazanlar arasında PoC istismarları GitHub’da Ve başka yerlerdeBu, vahşi doğada yaygın saldırıların yakında gelebileceğini gösteriyor.
Qualys araştırmacıları tarafından açıklanan kusur, Fedora, Ubuntu, Debian ve diğer birçok önemli Linux dağıtımını çalıştıran sistemler için önemli miktarda yetkisiz veri erişimi, sistem değişiklikleri ve potansiyel veri hırsızlığı riski oluşturuyor ve potansiyel olarak saldırganlara sayısız Linux sisteminde kök ayrıcalıkları sağlıyor.
Qualys yazısında, Fedora 37 ve 38, Ubuntu 22.04 ve 23.04, Debian 12 ve 13’ün varsayılan kurulumlarında güvenlik açığından başarıyla yararlanmanın ve tam kök ayrıcalıkları elde etmenin yanı sıra, diğer dağıtımların da muhtemelen savunmasız ve sömürülebilir olduğu belirtildi.
Qualys’in ürün müdürü Saeed Abbasi, “Sistem ve veri güvenliğine yönelik bu somut tehdit, güvenlik açığının otomatikleştirilmiş kötü amaçlı araçlara veya istismar kitleri ve botlar gibi yazılımlara dahil edilmesi olasılığıyla birleştiğinde, yaygın istismar ve hizmet kesintileri riskini artırıyor.” Tehdit Araştırma Birimi, geçen hafta kusurun ortaya çıktığını duyurdu.
Çok Yönlü Bir Tehdit
Linux kökünün devralınması son derece tehlikeli olabilir çünkü saldırganlara Linux tabanlı bir sistem üzerinde en yüksek düzeyde kontrol sağlar ve kök erişimi ağ üzerinde ayrıcalık yükseltmeyi kolaylaştırır, bu da ek sistemleri tehlikeye atabilir ve bu da saldırının kapsamını genişletir.
Örneğin Temmuz ayında, popüler konteyner tabanlı dosya sisteminin Ubuntu uygulamasındaki iki güvenlik açığı, saldırganların Ubuntu Linux bulut iş yüklerinin %40’ında kök ayrıcalıklarıyla kod yürütmesine olanak tanıdı.
Saldırganlar kök erişimi elde ederse, aslında hassas verileri değiştirme, silme veya sızdırma, sisteme kötü amaçlı yazılım veya arka kapılar yükleme ve uzun süreler boyunca tespit edilmeden devam eden saldırıları sürdürme konusunda sınırsız yetkiye sahip olurlar.
Kök devralmalar genellikle veri ihlallerine yol açarak müşteri verileri, fikri mülkiyet hakları ve finansal kayıtlar gibi hassas bilgilere yetkisiz erişime izin verir ve saldırganlar, önemli sistem dosyalarına müdahale ederek iş operasyonlarını kesintiye uğratabilir.
Kritik sistem operasyonlarının bu şekilde kesintiye uğraması genellikle hizmet kesintilerine veya üretkenliğin kısıtlanmasına yol açarak mali kayıplara ve kuruluşun itibarının zedelenmesine neden olur.
Kök devralma tehdidi devam ediyor ve genişliyor; örneğin, kısa süre önce tam hizmet Discord uzaktan erişim Truva Atı RAT’ını gizleyen yazım hatası yapan bir npm paketi gün ışığına çıktı. RAT, açık kaynaklı yazılım tedarik zinciri saldırılarını gerçekleştirmek için giriş engelini azaltan, anahtar teslimi bir rootkit ve hackleme aracıdır.
Sistemleri Güvenli Tutmak
Linux dağıtım tabanının katlanarak büyümesi, onu özellikle bulut ortamlarındaki tehdit aktörleri için daha büyük bir hedef haline getirdi.
Kuruluşların kendilerini Linux kök devralmalarına karşı proaktif olarak korumak için kullanabilecekleri çok sayıda seçenek vardır; örneğin, Linux işletim sistemi ve yazılımına düzenli olarak yama uygulanması ve güncellenmesi ve erişimi kısıtlamak için en az ayrıcalık ilkesinin uygulanması.
Diğer seçenekler arasında izinsiz giriş tespit ve önleme sistemlerinin (IDS/IPS) konuşlandırılması ve çok faktörlü kimlik doğrulama (MFA) ile desteklenen erişim kontrollerinin güçlendirilmesinin yanı sıra sistem günlüklerinin ve ağ trafiğinin izlenmesi ve güvenlik denetimleri ve güvenlik açığı değerlendirmelerinin yürütülmesi yer alır.
Bu ayın başlarında Amazon, en yüksek ayrıcalıklara sahip kullanıcılar için yeni MFA gereksinimleri ekleyeceğini ve zaman içinde diğer kullanıcı düzeylerini de dahil etmeyi planladığını duyurdu.