Siber güvenlik araştırmacıları, Linux çekirdeğinin AppArmor modülünde, ayrıcalıklı olmayan kullanıcılar tarafından çekirdek korumalarını aşmak, root'a yükseltmek ve konteyner izolasyon garantilerini zayıflatmak için kullanılabilecek çok sayıda güvenlik açığını ortaya çıkardı.
Dokuz karışık yardımcı güvenlik açığı, Qualys Tehdit Araştırma Birimi (TRU) tarafından topluca CrackArmor kod adı altında adlandırıldı. Siber güvenlik şirketi, sorunun 2017'den beri mevcut olduğunu söyledi. Eksikliklere herhangi bir CVE tanımlayıcısı atanmadı.
AppArmor, zorunlu erişim kontrolü (MAC) sağlayan ve bilinen ve bilinmeyen uygulama kusurlarının kötüye kullanılmasını önleyerek işletim sistemini harici veya dahili tehditlere karşı koruyan bir Linux güvenlik modülüdür. 2.6.36 sürümünden beri ana hat Linux çekirdeğine dahil edilmiştir.
Qualys TRU'nun kıdemli yöneticisi Saeed Abbasi, "Bu 'CrackArmor' tavsiyesi, imtiyazsız kullanıcıların sahte dosyalar yoluyla güvenlik profillerini manipüle etmesine, kullanıcı ad alanı kısıtlamalarını atlamasına ve çekirdek içinde rastgele kod çalıştırmasına olanak tanıyan karışık bir yardımcı kusuru açığa çıkarıyor" dedi.
"Bu kusurlar, yığın tükenmesi yoluyla hizmet reddi saldırılarının yanı sıra, sınır dışı okumalar aracılığıyla Çekirdek Adres Alanı Düzeni Rastgeleleştirme (KASLR) atlatmalarının yanı sıra, Sudo ve Postfix gibi araçlarla karmaşık etkileşimler yoluyla yerel ayrıcalıkların root'a yükseltilmesini kolaylaştırıyor."
Ayrıcalıklı bir program, yetkisiz bir kullanıcı tarafından, istenmeyen, kötü niyetli eylemler gerçekleştirmek üzere ayrıcalıklarını kötüye kullanmaya zorlandığında, karışık yardımcı güvenlik açıkları ortaya çıkar. Sorun esas olarak, ayrıcalık artışına yol açan bir komutu yürütmek için daha ayrıcalıklı bir araçla ilişkili güveni istismar ediyor.
Qualys, bir eylemi gerçekleştirme iznine sahip olmayan bir varlığın, kritik hizmet korumalarını devre dışı bırakmak veya tümünü reddetme politikalarını uygulamak için AppArmor profillerini manipüle edebileceğini ve bu süreçte hizmet reddi (DoS) saldırılarını tetikleyebileceğini söyledi.
"Profil ayrıştırmanın doğasında bulunan çekirdek düzeyindeki kusurlarla birleştiğinde, saldırganlar kullanıcı adı alanı kısıtlamalarını atlıyor ve Yerel Ayrıcalık Yükseltmesini (LPE) tam köke ulaştırıyor" diye ekledi.
Bu gelişme, kurumların tehdit görünürlüğü, yama yönetimi, güvenli geliştirme süreçleri ve olay müdahale hazırlığı açısından siber güvenlik gündemini daha yakından izlemesi gerektiğini gösteriyor.
Kaynak: The Hacker News
