Sakinsiz saldırganlar, GNU C Kütüphanesi'nde (GliBC) yeni açıklanan bir yerel ayrıcalık yükseltme (LPE) güvenlik açığından yararlanarak varsayılan yapılandırmalarda birden fazla ana Linux dağıtımına kök erişimi alabilirler.
CVE-2023-6246 olarak izlenen bu güvenlik kusuru, GlibC'nin __vsyslog_internal () işlevinde, yaygın olarak kullanılan Syslog ve VSYSLOG işlevleri tarafından sistem ileti oturum cihazına mesaj yazmak için çağrıldı.
Hata, Ağustos 2022'de Glibc 2.37'de yanlışlıkla tanıtılan ve daha sonra CVE-2022-39046 olarak izlenen daha az şiddetli bir güvenlik açığını ele alırken GliBC 2.36'ya geri dönen yığın bazlı bir tampon taşma zayıflığından kaynaklanmaktadır.
Qualys güvenlik araştırmacıları, "Tampon taşma sorunu, yerel ayrıcalık artışına izin verebileceği için önemli bir tehdit oluşturuyor, bu da menzil olmayan bir kullanıcının bu günlüğe kaydetme işlevlerini kullanan uygulamalara hazırlanmış girdiler yoluyla tam kök erişim elde etmesini sağlıyor." Dedi.
"Güvenlik açığı belirli koşulların kullanılması gerekse de (alışılmadık derecede uzun bir argv [0] veya openlog () kimlik argümanı gibi), etkilenen kütüphanenin yaygın kullanımı nedeniyle etkisi önemlidir."
Bulgularını test ederken, Qualys, Debian 12 ve 13, Ubuntu 23.04 ve 23.10 ve Fedora 37 ila 39'un CVE-2023-6246 istismarlarına karşı savunmasız olduğunu doğruladı ve herhangi bir permatik olmayan kullanıcının varsayılan kurulumlarda tam kök erişimi için ayrıcalıkları artırmasına izin verdi.
Testleri bir avuç dağıtım ile sınırlı olmasına rağmen, araştırmacılar "diğer dağılımların da muhtemelen sömürülebilir olduğunu" da sözlerine ekledi.
GLIBC'yi diğer potansiyel güvenlik sorunları için analiz ederken, araştırmacılar ayrıca __vsyslog_internal () işlevinde (CVE-2023-6779 ve CVE-2023-6780) ve üçüncüsü (a (a) olmak üzere üç güvenlik açığı da buldular-bunlardan istismardan yararlanacak- Bellek Yolsuzluğu Sorunu Hala bir CVEID bekliyor) GLIBC'nin QSORT () işlevinde.
Qualys Tehdit Araştırma Birimi ürün müdürü Saeed Abbasi, "Bu güvenlik açıklarının son keşfi sadece teknik bir endişe değil, yaygın bir güvenlik sonuçları meselesidir." Dedi.
"Bu kusurlar, özellikle birçok sistem ve uygulamada yaygın olarak kullanılan temel kütüphaneler için yazılım geliştirmede katı güvenlik önlemlerine yönelik kritik ihtiyacı vurgulamaktadır."
Son birkaç yıldır, Qualys'teki araştırmacılar, saldırganların varsayılan konfigürasyonlarda bile eşleştirilmemiş Linux sistemleri üzerinde tam kontrol sahibi olmalarına izin verebilecek başka Linux güvenlik açıkları buldular.
Keşfedildikleri güvenlik açıkları arasında Glibc'in LD.So Dinamik Yükleyici (Looney Tunables), biri Polkit'in PKEXEC bileşeninde (Pwnkit olarak adlandırılan), diğeri çekirdek dosya sistemi katmanında (dublajlı Sequoia) ve Sudo Unix Programında (akka Baron Samedit) .
Looney Tunable kusurunun (CVE-2023-4911) açıklandıktan günler sonra, kavram kanıtı (POC) istismarları çevrimiçi olarak yayınlandı ve tehdit aktörleri bir ay sonra Kinsing Malware'de Bulut Servis Sağlayıcısı (CSP) kimlik bilgilerini çalmak için sömürmeye başladı. saldırılar.
Kinsing çetesi, Kubernetes, Docker API'leri, REDIS ve Jenkins sunucuları dahil olmak üzere tehlikeye atılmış bulut tabanlı sistemlerde kripto para madenciliği kötü amaçlı yazılımları dağıtmakla bilinir.
CISA daha sonra ABD federal ajanslarına, aktif olarak sömürülen hatalar kataloğuna ekledikten ve "Federal İşletme için önemli riskler" olarak etiketledikten sonra Linux sistemlerini CVE-2023-4911 saldırılarına karşı güvence altına almalarını emretti.
Büyük Dağıtımlarda Kök Veren Linux Kususu için Serbest Yardım
Yeni 'Looney Tunables' Linux hatası büyük dağıtımlarda kök veriyor
Cisa, federal ajanslara Looney Tunable
CISA: Kritik Microsoft SharePoint hatası artık aktif olarak sömürüldü
Cisco, kritik birlik bağlantı hatasının saldırganların köklenmesine izin verdiğini söylüyor
Kaynak: Bleeping Computer