Açığın Teknik Detayları
CVE-2024-27397, Linux çekirdeğinin netfilter nf_tables bileşeninde tespit edilen kritik bir use-after-free zafiyetidir. Bu zafiyet, Linux Kernel sürümleri 4.1 ile 6.8 arasını etkilemektedir ve CVSS skoru 7.0 olarak değerlendirilmiştir. Bu açık, yerel bir saldırganın sistemde yetki yükseltmesine veya sistemi çökertmesine neden olabilir.
Zafiyet, NFT setleri içindeki öğelerin zaman aşımlarının (timeout) işlenmesindeki hatalı temizleme işlemlerinden kaynaklanır. Özellikle, bir işlem sırasında süresi dolmuş bir öğe geri alınırken (rollback) referans sayısının güncellenmemesi, use-after-free durumuna yol açar.
Zafiyetin temelinde, nf_tables.h dosyasındaki nft_set_elem_expired fonksiyonunun yanlış işlenmesi yatmaktadır.
İstismar Senaryosu
Araştırmacı liona24, bu zafiyeti istismar etmek için aşağıdaki adımları izleyen bir Proof-of-Concept (PoC) kodu yayımlamıştır:
- Kısa süreli zaman aşımı olan bir sete NFT_JUMP kararı eklenir ve referans sayısı artırılır.
- Süresi dolmadan önce set silinir ve referans sayısı azaltılır.
- İşlemi geciktirmek için rastgele işlemler yapılır ve eklenen öğenin süresi dolar.
- Geçersiz bir işlem tetiklenerek işlem iptal edilir.
Bu süreç sonunda, geri alma sırasında süresi dolmuş öğenin referans sayısı geri yüklenmez ve use-after-free durumu oluşur. Saldırgan, referans sayısını manipüle ederek RIP kontrolü sağlayabilir ve serbest bırakılan nesneler üzerinden istismar gerçekleştirebilir.
Yapılan testlerde, ASLR (Address Space Layout Randomization) atlatıldığında istismarın başarı oranı %90-100 arasında değişmektedir.
Etkilenen Sürümler ve Dosyalar
- Linux Kernel sürümleri: 4.1 – 6.8
- Zafiyetin bulunduğu commit: c3e1b005ed1c
- Düzeltmenin yapıldığı commit: 7395dfacfff65e9938ac0889dafa1ab01e987d15
- Etkilenen bileşen: netfilter nf_tables
Çözüm ve Öneriler
- Kernel Güncellemesi:
- Zafiyet, ilgili commit ile yamalanmıştır. Sistem yöneticilerinin kernel sürümlerini en güncel versiyona yükseltmeleri önerilir.
- ASLR ve Güvenlik Önlemleri:
- ASLR etkinleştirilmeli ve güvenlik sertlikleri artırılmalıdır.
- SELinux veya AppArmor gibi ek güvenlik katmanları aktif edilmelidir.
- Sistem İzleme:
- Kötü amaçlı etkinlikleri izlemek için loglama ve izleme araçları aktif olarak kullanılmalıdır.
Sonuç ve Öneriler
CVE-2024-27397, Linux sistemlerinde ciddi güvenlik riskleri oluşturan önemli bir zafiyettir. Yerel saldırganların sistem üzerinde yetki kazanmasını önlemek için güncellemelerin acilen uygulanması kritik önem taşır. Özellikle sunucu ve üretim ortamlarında bu tür güvenlik açıklarının kapatılması, sistemin bütünlüğü için gereklidir.
Birlikte Güvende Olalım!
#CyberSecurity #LinuxKernel #PrivilegeEscalation #NetworkSecurity #CVE2024-27397
About the Author
