Resim: Andrew Brookes/Getty Images.
Linux sistemlerini etkileyebilecek yeni bir güvenlik açığı keşfedildi. Bu sefer, bilgisayarın işletim sistemi ile donanım yazılımını önyükleme sırasında birbirine bağlayan açık kaynaklı bir önyükleyici olan Shim’de kritik bir güvenlik açığı var.
Bu güvenlik açığı düzeltilmezse, saldırgan Güvenli Önyüklemeyi atlayıp sistemin kontrolünü ele geçirebilir.
Shim’deki güvenlik açığı
İlk önce ilk şeyler: Shim sorusu Linux’un bir parçası değil. Modern PC’lerin ve sunucuların Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) güvenli önyükleme sistemi ile Linux arasında bir ağ geçididir. Teknik yönler bir yana, Linux’un başlatılması gerekiyor, dolayısıyla bu önemli bir öğedir.
Shim’in var olmasının nedeni, eski bilgisayarlardaki BIOS donanım yazılımını değiştirmeyi amaçlayan bir bilgisayar güvenlik standardı olan Güvenli Önyükleme’nin, 2012’de piyasaya sürüldüğünde çoğu Linux dağıtımında çalışmamasıydı. Güvenli Önyükleme, Windows için uyarlanmış bir güvenli anahtar veritabanı kullanıyordu ve hala kullanıyor. Linux dağıtımlarının buna erişmesinin kolay bir yolu yok. Tanınmış bir Linux geliştiricisi olan Matthew Garrett bir yama oluşturdu: Kendi veritabanına anahtar ekleyebilen bir önyükleyici olan Shim.
Bir düzine yıl ileri saralım: Microsoft Güvenlik Yanıt Merkezi’nden Bill Demirkapi bir güvenlik açığı buldu – CVE-2023-40547 – klasik bir arabellek taşması. Arabellek taşması durumunda, bir saldırgan sisteme girebilir ve potansiyel olarak kendi seçtiği kötü amaçlı yazılımı yükleyebilir.
Özellikle Shim’in kodunun savunmasız kısmı, ağdaki merkezi bir sunucudan önyükleme yapmak için HTTP kullanan sistemlerle ilgili olan kısımdır.
“Şartlar altında” kullanılabilecek bir kusur
Güvenli olmayan bir HTTP protokolü kullanan bir sunucudan asla önyükleme yapmadığınız günümüzde endişelenecek bir şey olmadığını düşünürsünüz. Ne yazık ki, açıklandığı gibi bu yanlıştır Twitter’da Bill Demirkapi : Bazı insanlar bu kusurun “sizi yalnızca HTTP önyüklemesini kullandığınızda etkilediğine” inanıyor. Eğer bu doğru olsaydı kritik bir kusur olmazdı.”
Özetle, bu güvenlik açığından yararlanılabilmesi için belirli bir dizi koşul gerekir. Saldırganın, sistemi bir HTTP kaynağından önyükleme yapması için yönlendirebilmesi gerekir; bu, sunucunun güvenliğini ihlal etmeyi veya ortadaki adam saldırısı gerçekleştirmeyi gerektirebilir.
Daha sonra, saldırganın bundan yararlanabilmesi için cihaza fiziksel erişim veya idari kontrol elde etmek gibi çeşitli engelleri aşması gerekecektir; özellikle de saldırgan zaten ağ çevresini ihlal etmişse, bu tamamen imkansız değildir.
Kritik bir güvenlik açığı
Peki durum gerçekte ne kadar ciddi? “Teorik olarak güvenlik açığı, bir saldırganın ürün yazılımının kendisini tehlikeye atmasına izin vermemelidir. Ama gerçekte ona izin verebilir ExitBootServices’ten önce kodu çalıştırmak için (donanımı hala çalıştıran ürün yazılımı ile görevi devralan işletim sistemi arasındaki geçiş). Bu, yazılıma karşı saldırı yüzeyinin çok daha büyük olduğu anlamına gelir; genel varsayım, ExitBootServices’ten önce yalnızca güvenilir kodun yürütüldüğü yönündedir. Sanırım buna hala bir önyükleme kiti diyebilirsiniz; yürütmeden önce önyükleyiciyi ve işletim sistemi çekirdeğini değiştirme yeteneğine sahiptir. Ancak tamamen kalıcı olmaz (eğer diski silerseniz kaybolur)” Matthew Garrett’ı Ars Technica’ya açıklıyor.
Orada Ulusal Güvenlik Açığı Veritabanı (NVD) sahip olmak ilk atanan Güvenlik açığı, Ortak Güvenlik Açığı Puanlama Sistemi’nde (CVSS) 9,8 puan aldı; neredeyse maksimum puan.
Kırmızı şapkaShim’i yöneten kişi daha ılımlı bir bakış açısına sahip. CVE-2023-40547 8.3 puan. Puan hâlâ yüksek ancak daha az endişe verici.
Kendinizi bundan nasıl korursunuz?
Peki neden bu istismar edilmesi zor güvenlik açığı için bu kadar yüksek bir puan? Çünkü Shim hemen hemen her Linux dağıtımında mevcut ve on yıldan fazla bir süredir var. Bu da pek çok potansiyel hedefi ortaya çıkarıyor.
Sisteminizin savunmasız kalmasını önlemek için şunları yapabilirsiniz: Shim’i tüm Linux sistemlerinize yayın. Veya hiçbir zaman bir ağdan önyükleme yapmazsanız, ağ önyükleme seçeneğini devre dışı bırakabilirsiniz.
Kaynak : ZDNet.com