Sayfa Çevirme: nf_tables'da Keşfedilen Yeni Linux Açığı ve Exploit Tekniği

 (pwning.tech)
1 puan yazan GN⁺ 2024-03-27 | 1 yorum | WhatsApp'ta paylaş

0. Okumadan önce

  • Bu blog yazısı, Linux çekirdeği açıklarını araştırmak isteyen geleceğin zaman yolcuları için hazırlanmıştır; yeni başlayanların araştırma iş akışını öğrenmesine ve deneyimli araştırmacıların yeni teknikler edinmesine yardımcı olmayı amaçlar.
  • Blog yazısı, araştırma makalesi biçimini benimsediği için, hacmi büyük olmasına rağmen kolayca taranıp bilgi çıkarılabilecek şekilde yapılandırılmıştır.
  • Blog yazısını verimli okuma yöntemi olarak, genel bakış bölümünü okumak, ekranı bölerek okuyup arama yapmak, hata bölümüne atlayarak hatanın nasıl çalıştığını anlamak ve kavram kanıtı bölümünden geçerek exploit'i incelemek önerilmektedir.

1. Genel bakış

  • Bu blog yazısı, nf_tables'da keşfedilen bir 0-day double-free hatasını kullanarak güçlendirilmiş Linux çekirdeklerini (ör. KernelCTF mitigasyonlu instance'lar) %93-%99 başarı oranıyla exploit etmeye yönelik yeni bir teknik tanıtmaktadır.
  • Bu exploit yalnızca nf_tables etkinse ve ayrıcalıksız kullanıcı ad alanları etkin durumdaysa çalışır; kullanıcı alanından çekirdek alanını ayna gibi yansıtan KSMA (kernel-space mirroring attack) gerçekleştirir.
  • Dirty Pagedirectory tekniği kullanılarak fiziksel adresler üzerinde sınırsız okuma/yazma yetkisi elde edilebilir; bu da sayfa tablosu karışıklığı yoluyla gerçekleştirilir.

2. Arka plan bilgisi

  • nf_tables, Linux çekirdeğinin giriş modüllerinden biridir ve iptables'ın son sürümlerinde backend olarak kullanılır.
  • iptables, paketlerin güvenlik duvarından geçip geçmeyeceğine karar vermek için durum makineleri ve kullanıcı tarafından belirtilen kuralları kullanan bir güvenlik duvarı aracıdır.
  • Netfilter hükmü, belirli bir paketin güvenlik duvarından geçip geçmeyeceğine ilişkin Netfilter kural kümesinin kararıdır; paketi düşürme veya kabul etme gibi kararlar verir.
  • sk_buff yapısı ağ verilerini (ör. IP paketleri, Ethernet çerçeveleri vb.) tanımlamak için kullanılır ve sk_buff->head nesnesi gerçek paket içeriğini barındırır.
  • IPv4'ün paket parçalama özelliği, bir paketin birden çok IP parçası halinde gönderilmesine olanak tanır ve Linux çekirdeği tüm parçaları aynı red-black tree içinde depolar.

GN⁺ Görüşü

  • Bu blog yazısı, Linux çekirdeği açıklarını araştırmak isteyen kişiler için son derece yararlı bilgiler sunmaktadır. Özellikle nf_tables ile ilgili açıkları anlamayı ve bunların nasıl exploit edildiğini öğrenmeyi sağlar.
  • Sunulan exploit tekniği, gerçek dünyadaki güvenlik araştırmalarına önemli katkı sağlayabilir ve bu tür teknikler sayesinde güvenlik uzmanları sistem açıklarını daha iyi anlayıp savunabilir.
  • Ancak bu tür exploit tekniklerinin kötü niyetli amaçlarla kullanılma ihtimali de vardır; bu nedenle bunların paylaşılmasının doğurabileceği etik sorunlar da dikkate alınmalıdır.
  • Linux çekirdeğinin güvenliğini güçlendirmek için topluluğun sürekli olarak açıkları bulup yamalama çalışmaları yürütmesi gerekir ve bu blog yazısı da bu çabanın bir parçası olarak görülebilir.
  • Bu teknik veya benzer tekniklerle güvenlik araştırması yapılıyorsa, araştırmacılar sorumlu açıklama politikalarını izlemeli ve açıklar yaygın biçimde kötüye kullanılmadan önce yamaların dağıtılabilmesi için iş birliği yapmalıdır.

İlgili okumalar

1 yorum

 
GN⁺ 2024-03-27
Hacker News görüşü
  • CVE-2024-1086 için bir kavram kanıtlama exploit'i yayımlandı. Linux çekirdeğinin v5.14 ile v6.6 arasındaki sürümleri etkileniyor; v6.4 ile v6.6 arası ise CONFIG_INIT_ON_ALLOC_DEFAULT_ON çekirdek yapılandırma değişkenine bağlı. Ayrıntılar için README.md dosyasına bakın. Bu hata 2024 Şubat'ta yamandı; Linux cihazlarınızı güncellemeniz önerilir.
  • Yamada önceki bir commit'i geri alan bir bölüm var ve o commit'in neden yapıldığı net görünmüyor. Bunun geçmişini araştıran biri olup olmadığı merak ediliyor.
  • Bu exploit, ayrıcalıksız kullanıcı ad alanlarına erişime dayanıyor: sysctl kernel.unprivileged_userns_clone = 1. Bu ayar Debian/Ubuntu ve Arch Linux çekirdeklerinde varsayılan durumda. Buna ihtiyacınız yoksa devre dışı bırakmanız iyi olur.
  • Güvenlik blog yazıları yazarken, okurun ne kadar arka plan bilgisine sahip olduğunu varsaymak sürekli bir mesele. Hedef kitleyi belirlemek ve yeterli bağlam sağlamak kolay değil. Bu yazı, araştırmaya başlayanlar için yararlı bir rehber olacaktır.
  • Ayrıcalıksız kullanıcı ad alanlarının varsayılan olarak neden etkin olduğu ve kullanıcılara neden varsayılan olarak iptables gibi araçları çalıştırma yeteneği verildiği sorgulanıyor.
  • ASLR gibi modern güvenlik önlemleri varken bu tür exploit'lerin nasıl mümkün olabildiği merak ediliyor. Üniversite derslerinde çeşitli hatalı binary'lerle yapılan alıştırmalar sayesinde, gerçek ortamda exploit geliştirmenin ne kadar zor olduğu deneyimlenmiş.
  • Açıklı bir Debian sisteminde exploit çalıştırılmış ancak yetki yükseltmesi gerçekleşmemiş; ikinci çalıştırmada sistem tamamen kilitlenmiş. Yamaları uygulamak önemli.
  • Mevcut çekirdek yapılandırmasını /boot/config veya /proc/config.gz dosyalarından kontrol edebilirsiniz.
  • Ubuntu'ya göre tüm LTS sürümleri etkileniyor ve yamalı en güncel çekirdeklerde sorun giderildi. Xenial ve Bionic, genişletilmiş destek alan kullanıcılar için bilgi niteliğinde.
  • CONFIG_INIT_ON_FREE_DEFAULT_ON exploit'i engelliyor, ancak dağıtımlar bunu varsayılan olarak derlemiyor. Bu, çekirdek sertleştirmenin ne kadar önemli olduğunu gösteren iyi bir örnek.