Linux’ta kök setlerin kurumsal güvenlik çözümlerini atlatmasına olanak tanıyan bir güvenlik ihlali mi var?
Bu ihlalin belirgin belirtileri nelerdir?
io_uring arayüzü tam olarak nedir ve nasıl çalışır?
Bu güvenlik açığı, hala tespit edilebiliyor mu?
Kurumsal güvenlik yazılımları bu duruma nasıl yanıt veriyor?
Sonuç olarak, kullanıcılar ne yapmalı?
- Linux’ta kök setlerin kurumsal güvenlik çözümlerini atlatmasına olanak tanıyan bir güvenlik ihlali mi var?
- Bu ihlalin belirgin belirtileri nelerdir?
- io_uring arayüzü tam olarak nedir ve nasıl çalışır?
- Bu güvenlik açığı, hala tespit edilebiliyor mu?
- Kurumsal güvenlik yazılımları bu duruma nasıl yanıt veriyor?
Linux’ta kök setlerin kurumsal güvenlik çözümlerini atlatmasına olanak tanıyan bir güvenlik ihlali mi var?
Evet, ARMO’nın yaptığı araştırmalara göre Linux’ta kök setlerin kurumsal güvenlik çözümlerini atlatabileceği bir güvenlik açığı tespit edilmiştir. Bu açık, bilgisayarlarda gizlice kök setlerin çalışmasına olanak tanımaktadır. Kök setler, sistemin yönetici haklarını kullanarak kötüye kullanılan yazılımlardır ve genellikle fark edilmeleri son derece zordur.
Bu ihlalin belirgin belirtileri nelerdir?
Bu tür bir güvenlik açığının belirgin bir belirtisi yoktur çünkü kök setler gözlemlenmeden çalışabilir. Ancak, kurumsal güvenlik yazılımlarının çoğu, belirli sistem çağrılarını (syscall) izlemekte ve burada şüpheli aktiviteleri tespit etmeye çalışmaktadır. Açık, ‘io_uring’ adı verilen bir arayüzden kaynaklandığı için, bu arayüzle ilgili aktiviteler çoğu güvenlik aracı tarafından göz ardı edilmektedir. Bu durum, kötü niyetli yazılımların gizli kalmasını ve tespit edilmesini engellemektedir.
io_uring arayüzü tam olarak nedir ve nasıl çalışır?
io_uring, Linux sistemlerinde depolama cihazlarıyla daha hızlı ve verimli bir şekilde iletişim kurmak için geliştirilmiş bir çekirdek arayüzüdür. 2019 yılında, Linux 5.1 ile birlikte tanıtılmıştır. Çok sayıda işlem desteklemesiyle birlikte, dosya okuma/yazma, ağ bağlantıları oluşturma/kabul etme gibi birçok işlevi yerine getirmektedir. Bu özellikleri sayesinde, sistemde yoğun veri akışını yönetirken performans kaybını en aza indirmektedir.
Bu güvenlik açığı, hala tespit edilebiliyor mu?
Mevcut güvenlik araştırmalarına göre, ‘Curing’ adında bir kanıt konsepti (PoC) kök set geliştirilmiştir. Bu kök set, uzaktan talimatlar çekerek ve sistem çağrı bağlama mekanizmalarını tetiklemeksizin rastgele komutlar çalıştırabilmektedir. Çeşitli güvenlik araçları bu durumu tespit edememiştir. Özellikle Falco, bu kök setten tamamen habersiz kalmıştır. Diğer bir güvenlik aracı olan Tetragon, varsayılan ayarlarda bu durumu tespit edememiştir, ancak geliştiricileri, bu durumu izlemek için gerekli ayarların yapılabileceğini belirtmiştir.
Kurumsal güvenlik yazılımları bu duruma nasıl yanıt veriyor?
Güvenlik yazılımları, bu açığı tespit etmek konusunda yetersiz kalmaktadır. Araştırmacılar, çeşitli ticari güvenlik programlarıyla yapılan testlerde, io_uring’i istismara yönelik kötü amaçlı yazılımların tespit edilmediğini bildirmiştir. Curing kök seti, GitHub’da ücretsiz olarak yayımlanmış ve bu durum, güvenlik yazılımı geliştiricileri arasında endişe yaratmıştır. Tetragon’un geliştiricilerinin, yazılımın esnekliği sayesinde durumu tespit etmek için esneklik sağladığını belirtmesine rağmen, bu tür bir güvenlik açığının varlığı, endüstride genel bir kaygı yaratmıştır.
Bu aşamada, kullanıcılar ve sistem yöneticileri, kullandıkları güvenlik yazılımlarının yetkinliğini gözden geçirmeli ve gerekli güncellemeleri yapmalıdır. Özellikle, io_uring ile ilgili aktiviteleri izleyebilecek güvenlik çözümleri aramak ve uygulamak kritik bir önem taşımaktadır. Ayrıca, işletim sistemlerinin ve uygulamaların güncel tutulması, bu tür güvenlik açıklarına karşı bir önlem olarak düşünülmelidir.
Kısacası, Linux’taki bu güvenlik açığı, kullanıcıların günlük iş akışlarını etkileyebilir ve sistemlerin güvenliğini tehdit edebilir. İlgili güvenlik açığına karşı dikkatli olmak ve proaktif güvenlik önlemleri almak, son derece önemlidir.
