Önemli Bir Güvenlik Açığı: CIFSwitch
CIFSwitch adı verilen yeni bir yerel ayrıcalık yükseltme güvenlik açığı, Linux çekirdeğini etkileyerek saldırganların CIFS kimlik doğrulama anahtar tanımlarını sahteleyebilmesine olanak tanımaktadır. Bu durum, özellikle kritik sistemlerin güvenliğini tehdit eden önemli bir sorun olarak karşımıza çıkmaktadır.
Saldırı Nasıl Çalışıyor?
Linux çekirdeğinin CIFS (Common Internet File System) alt sistemi, cifs.spnego anahtar taleplerinin kaynağını doğrulamada başarısızdır. Saldırganlar bu zafiyeti kullanarak bir sahte cifs.spnego talebi oluşturabilir ve normal kimlik doğrulama sürecini tetikleyebilir.
Sistem, cifs-utils araçlarıyla gerçekleştirilen bu doğrulamayı, çekirdek tarafından oluşturulmuş gibi varsayılan alanların üzerine güvenerek yapmaktadır. Saldırgan, kullanıcı alanında bir alan adı geçişi gerçekleştirerek ve ardından bir Ad Servis Geçişi (NSS) araması tetikleyerek kök düzeyinde kod çalıştırabilir.
Etkilenen Sistemler
CIFSwitch zafiyetinden etkilenen bazı Linux dağıtımları şunlardır:
- Linux Mint 21.3 / 22.3
- CentOS Stream 9
- Rocky Linux 9
- AlmaLinux 9
- Kali Linux 2021.4–2026.1
- SLES 15 SP7
Ayrıca, bazı Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux, ve Amazon Linux sürümleri de yüklü cifs-utils paketi nedeniyle etkilenebilir.
Çözüm ve Korunma
CIFSwitch açığı, cifs.spnego isteği kökenlerini doğrulayan bir çekirdek yaması ile düzeltilmiştir. Ancak, bu yamanın dahil edildiği çekirdek sürümleri dağıtımlara göre değişiklik göstermektedir. Kullanıcıların alması gereken önlemler:
- CIFS modülünü kullanılmıyorsa devre dışı bırakmak veya kara listeye almak.
- Gerekmedikçe cifs-utils paketini kaldırmak.
- Sadece gerekli olan kullanıcı alanları için unprivileged user namespaces özelliğini devre dışı bırakmak.
Ayrıca, Manizada’nın yayımladığı CIFSwitch için bir örnek istismar (PoC) aracı, organizasyonların uyguladıkları yamaların etkinliğini doğrulamalarına yardımcı olabilir.
Sonuç
Kullanıcılar, sistemlerini korumak için belirtilen güncellemeleri ve önerileri uygulamalıdır. Zafiyetin ciddiyeti göz önüne alındığında, port kapatmak ve ilgili yazılımları güncellemek büyük önem taşımaktadır. Bilgisayar sistemlerinizin güvenliğini sağlamak için gerekli önlemleri alın.
