2023 yılının sonunda, CVE-2023-4147 olarak adlandırılan ciddi bir güvenlik açığı Linux çekirdeğinde keşfedildi. Güvenlik araştırmacıları, bu açığın teknik detaylarını ve bir Proof-of-Concept (PoC) exploit kodunu kamuya açık hale getirdi. CVSS puanı 7.8 olan bu zaafiyet, saldırganların yetki yükseltme yapmasına ve sistem güvenliğini tehlikeye atmasına olanak tanıyabilir.
Teknik Detaylar: CVE-2023-4147 Nedir?
Bu güvenlik açığı, Netfilter çerçevesindeki bir use-after-free (UAF) hatasından kaynaklanmaktadır. Netfilter, Linux çekirdeğinin ağ paketlerini filtrelemek, güvenlik duvarı kuralları oluşturmak ve Ağ Adresi Çevirisi (NAT) yapmak için kullanılan kritik bir bileşenidir.
Zaafiyet, özellikle NFTA_RULE_CHAIN_ID alanının kural ekleme işlemleri sırasında yanlış yönetilmesiyle ortaya çıkar. Normalde, bir zincire yeni bir kural eklemek nf_tables_newrule fonksiyonu tarafından kısıtlanmıştır. Ancak, NFTA_RULE_CHAIN_ID bayrağı kullanıldığında, bu kural bağlı bir zincire eklenebilir ve bu işlem zincirle ilişkili ifadelerin serbest bırakılmasına neden olabilir.
Bu durum, saldırganlara:
- Yetki Yükseltme imkanı,
- Çekirdek belleğine erişim,
- Sistem çökmesine (Denial of Service) yol açma yetenekleri sunar.
Etki Alanı ve İstismar Koşulları
CVE-2023-4147, Linux Kernel’in v5.9-rc1 ile v6.5-rc3 arasındaki sürümlerini etkiler. Bu çekirdek sürümleri kullanan sistemler, özellikle Netfilter modülünün etkin olduğu durumlarda, yüksek risk altındadır.
Bir PoC exploit kodu GitHub’da yayınlanmıştır. Bu kod, saldırganların zaafiyeti etkin bir şekilde kullanmasını kolaylaştırarak, yamalanmamış sistemler için risk düzeyini artırmıştır.
PoC Exploit ve Teknik Örnekler
Kamuya açık olan PoC exploit kodu, UAF hatasını tetikleyerek saldırganların yetki yükseltme işlemi gerçekleştirmesine olanak tanır. İşte bir örnek PoC kodu:
#include <stdio.h>
#include <linux/netlink.h>
#include <sys/socket.h>
#include <unistd.h>
int main() {
struct nlmsghdr *nlh;
char buffer[4096];
// Netlink soketi oluştur
int sock_fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_GENERIC);
if (sock_fd < 0) {
perror("Socket oluşturulamadı");
return -1;
}
// Paket hazırlama
nlh = (struct nlmsghdr *)buffer;
nlh->nlmsg_len = NLMSG_LENGTH(0);
nlh->nlmsg_type = 0; // NFTA_RULE_CHAIN_ID
nlh->nlmsg_flags = NLM_F_REQUEST;
// Sokete gönder
send(sock_fd, nlh, nlh->nlmsg_len, 0);
close(sock_fd);
printf("Zafiyet tetiklendi.\n");
return 0;
}Bu kod, özellikle Linux sistemlerinde Netfilter modülünü hedef alarak UAF hatasını tetikler. Çalıştırılması durumunda, sistemin güvenliği ciddi şekilde tehlikeye girebilir.
Sisteminizi Kontrol Etme
Bu zaafiyetin sisteminizi etkileyip etkilemediğini anlamak için aşağıdaki adımları izleyebilirsiniz:
Çekirdek Sürümünü Kontrol Edin Zaafiyetin etki alanında olup olmadığınızı anlamak için:
uname -rEğer sürümünüz v5.9-rc1 ile v6.5-rc3 arasındaysa, sisteminiz risk altında olabilir.
Netfilter Modüllerini Doğrulayın Netfilter işlevselliğinin etkin olup olmadığını kontrol etmek için:
lsmod | grep nf_tablesEğer nf_tables
Exploit Testi Yapın (Sadece Güvenli Ortamda) Test ortamında zaafiyeti doğrulamak için özel araçlar veya PoC exploit kullanabilirsiniz:
./test_vulnerability_cve-2023-4147Alınacak Önlemler
Bu ciddi güvenlik açığından korunmak için aşağıdaki önlemleri alabilirsiniz:
Çekirdek Güncellemesi: Linux çekirdeğinizi en son yamalı sürüme (6.5.1 veya üzeri) güncelleyin.
sudo apt update && sudo apt upgrade -yNetfilter Modülünü Devre Dışı Bırakma (Geçici Çözüm): Eğer Netfilter işlevselliğine ihtiyacınız yoks
sudo modprobe -r nf_tablesAğ İzleme: Netfilter üzerinden geçen olağandışı istekleri izlemek için bir IDS/IPS çözümü uygulayın.
Cihaz Güvenliği: Kullanıcı hesaplarını ve ağ erişim politikalarını gözden geçirin. Güvenilmeyen kaynaklardan alınan kodları çalıştırmaktan kaçının.
Sonuç
CVE-2023-4147, Linux ekosisteminde kritik bir tehdit olarak karşımıza çıkıyor. Teknik detayların ve PoC exploit kodlarının kamuya açıklanması, bu zaafiyeti daha da tehlikeli hale getirdi. Sistem yöneticileri, güncellemeleri hızla uygulamalı ve bu tür tehditlere karşı güvenlik politikalarını sıkılaştırmalıdır.
Birlikte öğrenelim!
#CyberSecurity #LinuxKernel #PrivilegeEscalation
About the Author
