Pek çok büyük Linux dağıtımının güvenli önyükleme işlemi sırasında kullandığı küçük bir kod parçası olan Linux dolgusu, saldırganlara etkilenen sistemlerin tam kontrolünü ele geçirmeleri için bir yol sağlayan uzaktan kod yürütme güvenlik açığına sahiptir.
Aşağıdakiler dahil Güvenli Önyüklemeyi destekleyen tüm Linux dağıtımları Kırmızı şapka, ubuntu, Debian, Ve SUSE CVE-2023-40547 olarak tanımlanan kusurdan etkileniyor. Bu kusur, bakımcısı Red Hat’in yakın zamanda açıkladığı ve bir güncelleme yayınladığı Linux shim’indeki altı güvenlik açığından en ciddi olanı.dolgu 15.8). Hatayı keşfeden ve Red Hat’e bildiren Microsoft’un Güvenlik Yanıt Merkezi araştırmacısı Bill Demirkapi, durumu şu şekilde tanımladı: son on yılda imzalanan her Linux önyükleyicisi.
Sınır Dışı Yazma Hatası
Red Hat, danışma belgesinde hatanın, bir HTTP yanıtını ayrıştırırken saldırgan tarafından kontrol edilen değerlere güvenen dolgu önyükleme koduyla ilgili olduğunu söyledi. “Bu kusur, bir saldırganın belirli bir kötü amaçlı HTTP isteği oluşturmasına olanak tanır ve bu da tamamen kontrollü, sınırların dışında yazma ilkel ve eksiksiz sistem güvenliğinin ihlal edilmesine yol açar.”
Ulusal Güvenlik Açığı Veritabanı (NVD) ve Red Hat, güvenlik açığının ciddiyeti ve kullanılabilirliği konusunda biraz farklı yaklaşımlara sahipti. NVD hatayı atadı CVSS 3.1 ölçeğinde neredeyse maksimum önem derecesi 10 üzerinden 9,8’dir ve bunu bir saldırganın ağ üzerinden çok az karmaşıklıkla ve kullanıcı etkileşimi veya ayrıcalık gerektirmeden yararlanabileceği bir şey olarak tanımlamıştır.
Red Hat, hataya 8,3 gibi daha mütevazı bir önem puanı verdi ve bunun yalnızca bitişik bir ağ üzerinden yararlanılabileceğini ve yüksek saldırı karmaşıklığı içerdiğini belirtti. Bu, etkilenen diğer Linux dağıtımlarının geliştiricilerinin Ubuntu ile paylaştığı bir değerlendirmeydi; örneğin, CVE-2023-40547’yi “orta” önem derecesine sahip bir hata olarak adlandırdı ve SUSE, ona genellikle kritikten bir kademe daha düşük olan “önemli” bir derecelendirme verdi.
Red Hat, farklı önem derecelerini şu şekilde açıkladı: “Açık kaynak bileşenler için CVSS puanları, satıcıya özgü faktörlere (örneğin sürüm veya yapı zinciri) bağlıdır. Bu nedenle, Red Hat’in puanı ve etki derecesi, NVD ve diğer sağlayıcılardan farklı olabilir.” Hem NVD hem de Red Hat, güvenlik açığının veri gizliliği, bütünlüğü ve kullanılabilirliği üzerinde büyük bir etkiye sahip olduğu konusunda hemfikirdi.
Bir dolgu önyükleyicisi temel olarak Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) tabanlı sistemlerde ana işletim sistemi önyükleyicisinden önce yüklenen küçük bir uygulamadır. UEFI ürün yazılımı ile ana işletim sistemi önyükleyicileri arasında bir köprü görevi görür; Linux durumunda bu genellikle GRUB veya sistem önyüklemesidir. İşlevi, yüklemeden ve çalıştırmadan önce ana işletim sistemi önyükleyicisini doğrulamaktır.
Çoklu Saldırı Vektörleri
Araştırmacılar yazılım tedarik zinciri güvenlik sağlayıcısı Eclypsium belirlendi üç farklı yol Bir saldırganın bu güvenlik açığından yararlanabilmesi için gerekenler. Bunlardan ilki, saldırganın kurban ile HTTP önyüklemesini desteklemek için dosyalara hizmet eden HTTP sunucusu arasındaki HTTP trafiğini kestiği ortadaki adam (MiTM) saldırısıdır. “Saldırgan, kurban ile meşru sunucu arasındaki herhangi bir ağ bölümünde bulunabilir.”
Savunmasız bir sistemde yeterli ayrıcalıklara sahip bir saldırgan, Genişletilebilir Ürün Yazılımı Arayüzü (EFI) değişkenlerindeki veya EFI bölümlerindeki verileri değiştirerek de güvenlik açığından yerel olarak yararlanabilir. “Bu, canlı bir Linux USB çubuğuyla gerçekleştirilebilir. Daha sonra önyükleme sırası, sisteme uzak ve savunmasız bir dolgu yüklenecek şekilde değiştirilebilir.”
Eclypsium, kurbanla aynı ağda bulunan bir saldırganın, savunmasız bir önyükleyiciye zincirleme yükleme yapmak için önyükleme öncesi yürütme ortamını manipüle edebileceğini söyledi. Satıcı, “Bu güvenlik açığından yararlanan bir saldırgan, çekirdek yüklenmeden önce sistemin kontrolünü ele geçirir, bu da ayrıcalıklı erişime sahip olduğu ve çekirdek ve işletim sistemi tarafından uygulanan tüm kontrolleri atlatabilme becerisine sahip olduğu anlamına gelir” dedi.
Abartılı Şiddet mi?
Ancak bazı güvenlik uzmanları, bu güvenlik açığından yararlanılmasının yüksek derecede karmaşıklık ve tesadüfi bir durum gerektirdiğini düşünüyor. Menlo Security’nin baş güvenlik mimarı Lionel Litty, saldırganın savunmasız bir cihazda yönetici ayrıcalıklarına zaten sahip olması gerekeceğinden yararlanma çıtasının yüksek olduğunu söylüyor. Veya ağ önyüklemesini kullanan bir cihazı hedeflemeleri ve aynı zamanda hedeflenen cihazın yerel ağ trafiğine ortadaki adam saldırısı gerçekleştirebilmeleri gerekir.
Litty, “Güvenlik açığını bulan araştırmacıya göre, yerel bir saldırgan, EFI bölümünü değiştirerek önyükleme sırasını değiştirebilir ve daha sonra bu güvenlik açığından yararlanabilir” diyor. “[But] EFI bölümünü değiştirmek, kurban makinede tam ayrıcalıklı bir yönetici olmayı gerektirecektir” diyor.
Cihaz ağ önyüklemesini kullanıyorsa ve saldırgan trafikte MITM yapabiliyorsa, o zaman arabellek taşmasını hedefleyebilir. Litty, “Hatayı tetikleyecek ve bu noktada önyükleme sırası üzerinde kontrol sahibi olmalarını sağlayacak hatalı biçimlendirilmiş bir HTTP yanıtı döndürecekler” diyor. HTTP önyüklemesi veya önyükleme öncesi yürütme ortamı (PXE) önyüklemesi kullanan makinelere sahip kuruluşların, özellikle de önyükleme sunucusuyla iletişim, bir saldırganın kendisini trafiğin ortasına yerleştirebileceği bir ortamda olması durumunda endişe edilmesi gerektiğini ekliyor.
JFrog’un güvenlik araştırmaları kıdemli direktörü Shachar Menashe, Red Hat’in güvenlik açığının ciddiyetine ilişkin değerlendirmesinin NVD’nin “aşırı abartılı” puanından daha doğru olduğunu söylüyor.
Tutarsızlığın iki olası açıklaması olduğunu söylüyor. “NVD, güvenlik açığının kapsamlı bir analizini değil, açıklamadaki anahtar kelimeleri temel alarak puanı sağladı” diyor. Örneğin, “kötü amaçlı HTTP isteğinin” otomatik olarak bir ağ saldırısı vektörüne dönüştüğünü varsayarsak.
NVD ayrıca, kurban makinenin yerel ağ dışındaki bir sunucudan HTTP yoluyla önyükleme yapacak şekilde yapılandırılmış olduğu ve saldırganın zaten bu HTTP sunucusu üzerinde denetime sahip olduğu son derece olası olmayan en kötü durum senaryosunu da ima ediyor olabilir. Shachar, “Bu, bu CVE ile ilgisi olmasa bile tonlarca soruna neden olabilecek son derece olası olmayan bir senaryodur” diyor.