Bu kusurlardan yararlanılırsa, saldırganların hassas bilgilere yetkisiz erişim elde etmesine izin verebilir veya genellikle sorunlara neden olabilir.
İşte blogda Böcek keşifleri hakkında birçok haber paylaşmayı seviyorum ve tespit edilen güvenlik açıkları linux üzerinde farklı alt sistemlerinin yanı sıra bazı popüler uygulamalar içinde.
Çoğunuzun bileceği gibi bir güvenlik açığını ifşa etme süreci, bir ödemesiz dönem sunma eğilimindedir. böylece geliştiricilerin söz konusu hatayı çözebilmeleri ve düzeltici sürümleri veya yamaları başlatabilmeleri için bir süre vardır. Çoğu durumda, güvenlik açığı açıklanmadan önce hatalar giderilir, ancak bu her zaman böyle değildir ve bilgiler ve hazırlanan xplot'lar halka açıklanır.
Bu noktaya gelmekle ilgili olan şey, Bir "istismar" olduğu ilk kez ortaya çıkmıyor. güvenlik açığı sonuçlarından "gizli bir ödül" ile, Haziran ortasından bu yana, Linux çekirdek modülü rkvdec'de bir güvenlik açığı (CVE-2023-35829 altında listelenmiştir) bildirildi.
Bu durumda PoC, zararsız bir öğrenme aracı kisvesi altında kötü niyetli niyetler barındıran koyun postuna bürünmüş bir kurttur. Gizli arka kapısı gizli ve kalıcı bir tehdit oluşturuyor. Bir indirici olarak çalışarak, bir Linux bash betiğini sessizce indirir ve yürütürken, faaliyetlerini çekirdek düzeyinde bir işlem olarak gizler.
Kalıcılık metodolojisi oldukça zekice. Kaynak dosyalardan yürütülebilir dosyalar oluşturmak için kullanılır, bir kworker dosyası oluşturmak için make komutundan yararlanır ve dosya yolunu bashrc dosyasına ekleyerek kötü amaçlı yazılımın kurbanın sisteminde sürekli olarak çalışmasına izin verir.
Algılanan güvenlik açığı, bir bellek alanına erişime yol açar sürücü yüklemesindeki bir yarış durumu nedeniyle serbest bıraktıktan sonra. Sorunun bir hizmet reddi çağrısıyla sınırlı olduğu varsayıldı, ancak son zamanlarda Telegram ve Twitter'daki bazı topluluklarda, güvenlik açığının ayrıcalıksız bir kullanıcı tarafından kök hakları elde etmek için kullanılabileceği bilgisi ortaya çıktı.
Bunu göstermek için, xploits'in iki işlevsel prototipi kanıt olarak yayınlandı hangileri Github'da yayınlandı ve daha sonra kaldırıldı, çünkü üzerlerinde arka kapılar bulundu.
Yayınlanan istismarların bir analizi şunu gösterdi: Linux'a kötü amaçlı yazılım yükleyen kötü amaçlı kod içeriruzaktan oturum açmak için bir arka kapı kurdukları ve bazı dosyaları saldırganlara gönderdikleri için.
Kötü amaçlı istismar sadece kök erişimi elde etmiş gibi davrandım saldırının ilerleyişi hakkında teşhis mesajları görüntüleyerek, kendi kök kullanıcısıyla ayrı bir kullanıcı tanımlayıcı alanı oluşturarak ve /bin/bash kabuğunu, whoami gibi yardımcı programları çalıştırırken kök erişimine sahip olduğu izlenimini yaratan müdürden izole edilmiş bir ortamda çalıştırarak.
Zararlı kod aclocal.m4 çalıştırılabilir dosyası komut dosyasından çağrılarak etkinleştirildi Makefile derleme betiği (kötü amaçlı kodu keşfeden araştırmacılar, açıktan yararlanma derlenirken ELF biçiminde yürütülebilir bir dosyanın autoconf betiği olarak adlandırılması gerçeğiyle alarma geçtiler). Yürütülebilir dosya, başlatıldıktan sonra sistemde, otomatik başlatma için "~/.bashrc"ye eklediği bir dosya oluşturur.
Böylece, işlem, kullanıcının bunu fark etmeyeceğini gösteren yeniden adlandırılır Linux çekirdeğindeki kworker işlemlerinin bolluğu bağlamında işlem listesinde.
Kworker işlemi daha sonra harici bir sunucudan bir bash betiği indirir. ve sistem üzerinde çalıştırırdı. Buna karşılık, indirilen komut dosyası davetsiz misafirlere SSH aracılığıyla bağlanmak için bir anahtar ekler ve bu aynı zamanda kullanıcının ana dizininin içeriğini ve /etc/passwd gibi bazı sistem dosyalarını içeren bir dosyayı transfer.sh depolama hizmetine kaydeder ve ardından kaydedilen dosyaya bir bağlantı olarak saldıran sunucuya gönderilir.
Son olarak, xploit'leri veya ifşa olan güvenlik açıklarını test etmeyi seven bir meraklıysanız, önlemlerinizi alın ve bu testleri izole bir ortamda (VM) veya buna özel başka bir ikincil sistem/ekipman üzerinde gerçekleştirmenin asla zarar vermediğini belirtmekte fayda var.
Şekerleme hakkında daha fazla bilgi edinmekle ilgilenen, ayrıntıları kontrol edebilirsiniz aşağıdaki bağlantı.