Tayvan merkezli ağa bağlı depolama (NAS) cihazı satıcısı QNAP, birkaç ürününün, ilk olarak geçen hafta açıklanan “Dirty Pipe” adlı ciddi bir Linux güvenlik açığı içerdiğini belirledi.
QNAP’ın duyurusu, 5.8 sürümünden Linux 5.16.11, 5.15.25 ve 5.10.102’den önceki sürümlere kadar tüm Linux çekirdeklerinde bulunan bir ayrıcalık yükseltme kusuru olan Dirty Pipe’ın potansiyel olarak geniş kapsamının en son göstergesidir. Güvenlik araştırmacısı Max Kellerman kusuru keşfetti [CVE-2022-0847] Müşteri konumundaki bozuk dosyaları içeren bir destek biletini araştırırken. Kellerman, geçen hafta bunun için bir kavram kanıtı açıklaması yayınladı. açıklama konunun.
Kusur, en son Linux çekirdek sürümlerinin tümünde ele alınmıştır. Şimdiye kadar, Dirty Pipe güvenlik açığının vahşi ortamda istismar edildiğine dair herhangi bir rapor olmadı. Bununla birlikte, kusurun, çekirdeğin 5.8 veya sonraki sürümlerini çalıştıran her Linux cihazında mevcut olduğu gerçeği – yeni sürümler de dahil olmak üzere – Android 12 cihazlar Android 12 çalıştıran Google Pixel 6 ve Galaxy S22 gibi — ve bunun birden fazla şekilde kullanılabilmesi endişelere yol açtı. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bunlardan biriydi. teşvik eden kuruluşlar Kirli Boru kusurunun ayrıntılarını gözden geçirmek ve çekirdeğin yeni sabit sürümlerine güncellemek için.
“Bu güvenlik açığı, ayrıcalıkları olmayan yerel bir kullanıcının, yetkisiz yeni oluşturma gibi kök ayrıcalıkları kazanmasına olanak tanır. [scheduling tasks]SUID ikili dosyalarının ele geçirilmesi, parola değiştirme vb. “diyor Kaspersky güvenlik araştırmacısı Yaroslav Shmelev, kusuru analiz etti ve bir rapor geçen hafta üzerinde.
Shmelev, süper kullanıcı haklarını elde ettikten sonra saldırganın sistemde depolanan tüm verilere erişebileceğini söylüyor. Saldırgan ayrıca güvenliği ihlal edilmiş bir sistemde kalıcı kök erişimi elde edebilir, sistemdeki varlığının tüm izlerini kaldırabilir ve ayrıcalıklı sistem hizmetlerini kullanıcı kimlik bilgilerini ele geçirmek için değiştirebilir, diyor.
QNAP, etkilenen ürünleri, tüm x86 tabanlı NAS’larını ve QTS 5.0.x ve QuTS hero h5.0.x işletim sistemlerini çalıştıran bazı QNAP ARM tabanlı NAS cihazlarını içerdiğini açıkladı.
içinde danışma, satıcı güvenlik açığını, ayrıcalığı olmayan bir kullanıcıya yönetici ayrıcalıkları elde etme ve güvenlik açığı bulunan sistemlere rasgele kod enjekte etme yeteneği vermek olarak tanımlar. QNAP, şu anda güvenlik açığı için herhangi bir azaltma bulunmadığını ve etkilenen cihazların kullanıcılarını şirketin güvenlik güncellemelerini kullanıma sunulur sunulmaz tekrar kontrol etmeye ve yüklemeye çağırdı.
Şirket, “QNAP güvenlik açığını kapsamlı bir şekilde araştırıyor” dedi. “Güvenlik güncellemelerini yayınlayacağız ve mümkün olan en kısa sürede daha fazla bilgi sağlayacağız.”
Kellerman, Dirty Pipe kusurunu, 2016’daki “Dirty Cow” adlı başka bir ayrıcalık yükseltme Linux çekirdeği kusuruna benzer, ancak bundan daha kolay yararlanılması olarak tanımladı (CVE-2016-5195. Bu hata, Linux çekirdeğinin bellek alt sisteminin, yazma üzerine kopyalama (COW) işlevi olarak adlandırılan bir işlevi nasıl ele aldığına bağlıydı. Yeni bildirilen Linux kusuru gibi, Dirty Cow da işletim sisteminin belirli sürümlerine dayalı olarak Android cihazlar da dahil olmak üzere çok sayıda sistemi etkiledi. Dirty Cow’un ifşa edilmesinden yaklaşık altı yıl sonra, açıkta kalan savunmasız sistem ve cihazların sayısı nedeniyle siber yeraltında yüksek talep görmeye devam ediyor.
Kellerman’a göre, Linux Kernel Dirty Pipe kusuru temelde rastgele salt okunur dosyalardaki verilerin üzerine yazılmasına izin veriyor. Bu, saldırganlara kök işlemlere kötü amaçlı kod enjekte etmenin ve ayrıcalıkları yükseltmenin bir yolunu sunar. Kaspersky’den Shmelev, güvenlik açığının Linux çekirdeğindeki bir kusur nedeniyle oluştuğunu ve bunun da süreçler arası iletişimin yanlış çalışması için kullanılan “borular” ile sonuçlandığını söylüyor.
Shmelev, “Bu güvenlik açığından yararlanılması, söz konusu borunun oluşturulması sırasında ve belirli eylemlerin yürütülmesi sırasında gerçekleşir” diyor. “[The flaw creates] failin salt okunur modda erişilebilen herhangi bir dosyanın içeriğini değiştirme yeteneği kazandığı ve böylece sistem üzerindeki ayrıcalıkları yükselttiği bir durum.
Linux Kusurunu Sömürmek Kolayca
Çeşitli sitelerde ve depolarda çalışan bir Dirty Pipe açığının bulunması, saldırganların kusurdan yararlanmasını kolaylaştırdı. Shmelev, “İstismarın kaynak kodunu derlemek ve yürütülebilir dosyayı saldırıya uğrayan cihazda başlatmak yeterli” diyor.
Birçok Linux dağıtımında gerekli güvenlik güncellemelerinin mevcut olduğunu ve kusuru düzeltmek için düzenli Linux çekirdeği güncellemeleri olarak başlatılabileceğini de ekliyor.
VMware’de tehdit istihbaratı kıdemli direktörü Giovanni Vigna, “Bu, istismar edilebilmesi için yerel erişim gerektiren bir ayrıcalık yükseltme güvenlik açığıdır” diyor. “Dolayısıyla, Linux sunucularına erişimi katı bir ihtiyaç temelinde kısıtlamak, bu özel saldırıyı azaltacak iyi bir genel uygulamadır” diyor.
Bu yaklaşımı ağ segmentasyonu ile birleştirmek, Dirty Pipe kusurunu içeren bir ihlalin kapsamını ve erişimini sınırlayabilir, diye ekliyor.
Kirli Boru gibi güvenlik açıkları, Linux’un bulut ortamlarında yaygın olarak kullanılması ve Linux kötü amaçlı yazılımlarının artan hacmi ve karmaşıklığı nedeniyle büyüyen bir endişe kaynağıdır. VMware tarafından yakın zamanda yapılan bir araştırma, Linux’un şu anda İnternet’teki en popüler web sitelerinin yaklaşık %78’ine güç verdiğini ve işletim sistemini tehdit aktörleri için popüler bir hedef haline getirdiğini gösterdi. Aynı zamanda, VMware, kötü amaçlı yazılımdan koruma ürünleri üreticileri arasında işletim sistemine odaklanma eksikliği nedeniyle Linux’a yönelik tehditleri tespit etmek için nispeten az sayıda aracın mevcut olduğunu buldu.
Vigna, “Bu nedenle, fidye yazılımı gibi verileri ve kripto madencileri gibi CPU kaynaklarını paraya çeviren saldırıların bu ortamlarda verimli bir zemin bulması şaşırtıcı değil” diyor. Özellikle bulut iş yüklerini hedefleyen Linux tabanlı fidye yazılımı örnekleri olarak REvil, DarkSide ve Defray’i işaret ediyor.
“Bunlar, hedef kapsamlarını genişletmek için Linux sürümlerine dönüşen Windows tabanlı tehditlerdi” diyor. “Siber suçlular, Linux tabanlı ortamlarda büyük para kazanma fırsatları olduğunun farkına vardıkça, Linux tabanlı tehditlerin sıklığı ve karmaşıklığı artmaya devam edecek gibi görünüyor.”
