Açık kaynaklı Libcue kütüphanesindeki bir bellek bozulması güvenlik açığı, saldırganların GNOME masaüstü ortamını çalıştıran Linux sistemlerinde keyfi kod yürütmesine izin verebilir.
İşaretli sayfa dosyalarını ayrıştırmak için tasarlanmış bir kütüphane olan Libcue, en son GNOME sürümlerinde varsayılan olarak dahil edilen Tracker Miners dosya meta veri dizinine entegre edilmiştir.
İşaret sayfaları (veya işaret dosyaları), bir CD'deki ses parçalarının yerleşimini içeren düz metin dosyalarıdır; uzunluk, şarkı adı ve müzisyen gibi ve ayrıca genellikle FLAC ses dosya formatı ile eşleştirilir.
Gnome, Debian, Ubuntu, Fedora, Red Hat Enterprise ve Suse Linux Enterprise gibi çeşitli Linux dağıtımlarında yaygın olarak kullanılan bir masaüstü ortamıdır.
Saldırganlar, Gnome Linux cihazlarındaki arama dizinini güncellemek için indirilen tüm dosyaları otomatik olarak dizine ekleyerek, izleyici madencilerinden yararlanarak kötü amaçlı kod yürütmek için söz konusu kusuru (CVE-2023-43641) başarıyla kullanabilir.
Hatayı bulan Github güvenlik araştırmacısı Kevin Backhouse, "Tracker-Miners tarafından kullanılma şekli nedeniyle, Libcue'daki bu güvenlik açığı 1 tıklamış bir RCE oldu. Gnome kullanıyorsanız, lütfen bugün güncelleyin," dedi hatayı bulan Github güvenlik araştırmacısı Kevin Backhouse.
Bu güvenlik açığından yararlanmak için, hedeflenen kullanıcı, daha sonra ~/indirme klasöründe saklanan kötü niyetli hazırlanmış bir .cue dosyası indirmelidir.
Tracker Madenciler Meta Veri Diziner, kaydedilen dosyayı izleyici ekstract işlemi aracılığıyla otomatik olarak ayrıştırdığında bellek bozulması kusuru tetiklenir.
Backhouse, "Uzun bir hikayeyi kısaltmak için, bir saldırganın CVE-2023-43641'den yararlanması ve bilgisayarınızda kod yürütülmesi için yanlış bir şekilde bir kötü amaçlı bağlantıyı tıklamanın gereken tek şey olduğu anlamına geliyor." Dedi.
Backhouse, bir kavram kanıtı istismarını tanıttı ve bugün daha önce Twitter üzerinden bir video paylaştı. Bununla birlikte, POC'nin piyasaya sürülmesi, tüm GNOME kullanıcılarının sistemlerini güncellemeleri ve güvence altına almaları için zaman sağlamak üzere ertelenecektir.
POC istismarının her Linux dağıtım için düzgün çalışmak için ayarlanması gerekse de, araştırmacı, Ubuntu 23.04 ve Fedora 38 platformlarını "çok güvenilir bir şekilde" hedefleyen istismarlar yarattığını söyledi.
Backhouse, "Testlerimde, POC'nin doğru dağılımda çalıştığında çok güvenilir bir şekilde çalıştığını (ve yanlış dağıtımda çalışırken bir Sigsegv tetikleyeceğini) buldum." Dedi.
"Başka bir dağıtım için POC'ler oluşturmadım, ancak Gnome'u çalıştıran tüm dağılımların potansiyel olarak sömürülebilir olduğuna inanıyorum."
CVE-2023-43641'in başarılı bir şekilde kullanılması, potansiyel bir mağdurun bir .cue dosyasını indirmeye kandırmasını gerektirse de, yöneticilerin sistemleri yama yapmaları ve bu güvenlik kusurunun ortaya koyduğu riskleri azaltması tavsiye edilir, çünkü en son sürümleri çalıştıran cihazlarda kod yürütme sağlar. Debian, Fedora ve Ubuntu dahil olmak üzere yaygın olarak kullanılan Linux dağıtımları.
Backhouse, son yıllarda Gnome Display Manager'da (GDM) bir ayrıcalık artış hatası ve birçok modern Linux platformuna yüklenen Polkit Auth System hizmetinde bir kimlik doğrulama baypası da dahil olmak üzere diğer şiddetli Linux güvenlik kusurları buldu.
İlgili haberlerde, kavram kanıtı istismarları, CVE-2023-4911 olarak izlenen ve yerel saldırganların büyük Linux platformlarında kök ayrıcalıkları kazanmasına izin veren GNU C Library'nin dinamik yükleyicisinde Looney Tunables yüksek şiddetli kusur için zaten ortaya çıktı.
Hackerlar Kaçırma Citrix NetScaler Oturum Açma Sayfaları Kimlik Bilgilerini Çalmak İçin
Büyük Dağıtımlarda Kök Veren Linux Kususu için Serbest Yardım
Yeni 'Looney Tunables' Linux hatası büyük dağıtımlarda kök veriyor
Fidye yazılımı çeteleri artık kritik TeamCity RCE kusurundan yararlanıyor
Sıfır günlük RCE saldırılarına maruz kalan milyonlarca exim posta sunucusu
Kaynak: Bleeping Computer