લિનક્સને અસર કરતી નબળાઈના "શોષણ પરીક્ષણ" માં તેઓએ છુપાયેલ બેકડોર શોધી કાઢ્યું

અહીં બ્લોગ પર મને બગ ડિસ્કવરીઝ વિશે ઘણા બધા સમાચાર શેર કરવા ગમે છે અને નબળાઈઓ કે જે શોધી કાઢવામાં આવે છે લિનક્સ પર તેની વિવિધ સબસિસ્ટમમાં, તેમજ કેટલીક લોકપ્રિય એપ્લિકેશનો.

તમે ઘણા જાણતા હશે નબળાઈ જાહેર કરવાની પ્રક્રિયા ગ્રેસ પીરિયડ ઓફર કરે છે જેથી ડેવલપર્સ પાસે બગને ઉકેલવા અને સુધારાત્મક સંસ્કરણો અથવા પેચ લોન્ચ કરવામાં સક્ષમ થવાનો સમયગાળો હોય. મોટાભાગના કિસ્સાઓમાં નબળાઈ જાહેર થાય તે પહેલાં, ભૂલો સુધારી દેવામાં આવે છે, પરંતુ હંમેશા એવું હોતું નથી અને માહિતી તેમજ તૈયાર એક્સપ્લોટ્સ લોકોને જાહેર કરવામાં આવે છે.

આ બિંદુ મેળવવા વિશે વાત એ છે કે એવું પહેલીવાર નથી કે જ્યારે "શોષણ" જાહેર થયું હોય નબળાઈના પરિણામોમાંથી "છુપાયેલ ઇનામ" સાથે જૂનના મધ્યભાગથી, Linux કર્નલ મોડ્યુલ rkvdec માં નબળાઈ (CVE-2023-35829 હેઠળ સૂચિબદ્ધ) નોંધવામાં આવી હતી.

આ કિસ્સામાં, PoC ઘેટાંના કપડાંમાં વરુ છે, જે હાનિકારક શિક્ષણ સાધનની આડમાં દૂષિત ઇરાદાને આશ્રય આપે છે. તેનો છુપાયેલ પાછલો દરવાજો ચોરીછૂપી અને સતત ખતરો રજૂ કરે છે. ડાઉનલોડર તરીકે કાર્યરત, તે લિનક્સ બેશ સ્ક્રિપ્ટને ચૂપચાપ ડાઉનલોડ કરે છે અને એક્ઝિક્યુટ કરે છે, જ્યારે તેની કામગીરીને કર્નલ-લેવલ પ્રક્રિયા તરીકે છૂપાવે છે.

તેની દ્રઢતા પદ્ધતિ ખૂબ જ ચતુર છે. સ્ત્રોત ફાઇલોમાંથી એક્ઝિક્યુટેબલ બનાવવા માટે વપરાય છે, તે kworker ફાઇલ બનાવવા માટે મેક કમાન્ડનો લાભ લે છે અને bashrc ફાઇલમાં તેનો ફાઇલ પાથ ઉમેરે છે, જે માલવેરને પીડિતની સિસ્ટમમાં સતત કાર્ય કરવાની મંજૂરી આપે છે.

શોધાયેલ નબળાઈ મેમરી વિસ્તારની ઍક્સેસ તરફ દોરી જાય છે ડ્રાઇવર ડાઉનલોડમાં રેસની સ્થિતિને કારણે તેને રિલીઝ કર્યા પછી. એવું માનવામાં આવતું હતું કે સમસ્યા સેવા કૉલના ઇનકાર સુધી મર્યાદિત હતી, પરંતુ તાજેતરમાં, ટેલિગ્રામ અને ટ્વિટર પરના કેટલાક સમુદાયોમાં, માહિતી દેખાઈ હતી કે નબળાઈનો ઉપયોગ બિનપ્રાપ્ત વપરાશકર્તા દ્વારા રૂટ અધિકારો મેળવવા માટે થઈ શકે છે.

આ દર્શાવવા માટે, એક્સપ્લોઇટ્સના બે કાર્યાત્મક પ્રોટોટાઇપ પુરાવા તરીકે બહાર પાડવામાં આવ્યા હતા જે Github પર પોસ્ટ કરવામાં આવ્યા હતા અને પછીથી દૂર કરવામાં આવ્યા હતા, કારણ કે તેમના પર પાછળના દરવાજા મળી આવ્યા હતા.

પ્રકાશિત શોષણના વિશ્લેષણ દર્શાવે છે કે દૂષિત કોડ ધરાવે છે જે Linux પર માલવેર ઇન્સ્ટોલ કરે છે, કારણ કે તેઓ રિમોટ લોગિન માટે બેકડોર સેટ કરે છે અને હુમલાખોરોને કેટલીક ફાઇલો મોકલે છે.

દૂષિત શોષણ માત્ર રૂટ એક્સેસ મેળવવાનો ડોળ કર્યો હુમલાની પ્રગતિ વિશે ડાયગ્નોસ્ટિક સંદેશાઓ પ્રદર્શિત કરીને, તેના પોતાના રુટ વપરાશકર્તા સાથે અલગ વપરાશકર્તા ઓળખકર્તા જગ્યા બનાવીને, અને /bin/bash શેલને પ્રિન્સિપલથી અલગ વાતાવરણમાં ચલાવીને, જેણે whoami જેવી ઉપયોગિતાઓ ચલાવતી વખતે રૂટ એક્સેસ હોવાની છાપ ઊભી કરી હતી.

દૂષિત કોડ તે સ્ક્રિપ્ટમાંથી એક્ઝિક્યુટેબલ ફાઇલ aclocal.m4 પર કૉલ કરીને સક્રિય કરવામાં આવી હતી મેકફાઇલ કમ્પાઇલેશન સ્ક્રિપ્ટ (સંશોધકો કે જેમણે દૂષિત કોડ શોધી કાઢ્યો હતો તેઓ એ હકીકતથી સાવચેત હતા કે જ્યારે શોષણનું સંકલન કરતી વખતે, ELF ફોર્મેટમાં એક્ઝિક્યુટેબલ ફાઇલને autoconf સ્ક્રિપ્ટ કહેવામાં આવે છે). શરૂ કર્યા પછી, એક્ઝેક્યુટેબલ સિસ્ટમ પર એક ફાઇલ બનાવે છે જે તે આપોઆપ સ્ટાર્ટઅપ માટે "~/.bashrc" માં ઉમેરે છે.

આ રીતે, પ્રક્રિયાનું નામ બદલવામાં આવ્યું છે જે સૂચવે છે કે વપરાશકર્તા તેની નોંધ લેશે નહીં Linux કર્નલમાં kworker પ્રક્રિયાઓની વિપુલતાના સંદર્ભમાં પ્રક્રિયા યાદીમાં.

kworker પ્રક્રિયા પછી બાહ્ય સર્વરમાંથી bash સ્ક્રિપ્ટ ડાઉનલોડ કરશે અને તેને સિસ્ટમ પર ચલાવશે. બદલામાં, ડાઉનલોડ કરેલ સ્ક્રિપ્ટ SSH દ્વારા ઘુસણખોરો સાથે જોડાવા માટે એક કી ઉમેરે છે, અને જે વપરાશકર્તાની હોમ ડાયરેક્ટરી અને કેટલીક સિસ્ટમ ફાઇલો, જેમ કે /etc/passwd, સ્ટોરેજ સર્વિસ transfer.sh માં સમાવિષ્ટો સાથેની ફાઇલને પણ સાચવે છે, જે પછી તેને હુમલો કરનાર સર્વર પર સાચવેલી ફાઇલની લિંક તરીકે મોકલવામાં આવે છે.

છેલ્લે, એ ઉલ્લેખનીય છે કે જો તમે એવા ઉત્સાહી છો કે જેઓ એક્સપ્લોઇટ્સ અથવા નબળાઈઓનું પરીક્ષણ કરવાનું પસંદ કરે છે જે જાહેર કરવામાં આવે છે, તો તમારી સાવચેતી રાખો અને આ પરીક્ષણો એક અલગ વાતાવરણ (VM) અથવા અન્ય ગૌણ સિસ્ટમ/ઉપકરણો કે જે આ માટે વિશિષ્ટ છે તેના પર કરવામાં ક્યારેય નુકસાન થતું નથી.

જો તમે છો તેના વિશે વધુ જાણવામાં રસ છે, તમે વિગતો ચકાસી શકો છો નીચેની કડી.