Sudo güvenlik açığından Desktop Central yama yönetimi ile kaçının

Windows son zamanlarda zayıf noktalarının bir sonucu olarak çeşitli sistem ihlalleri ile mücadele ederek zor bir dönemden geçiyor. Sıklıkla kötü amaçlı yazılımlara geçit vermeyen bir işletim sistemi olarak kabul edilen Linux günümüzde kendine has siber saldırılar yaşıyor. SambaCry ve Luabot gibi yakın zamanda varlıklarını hissettirmiş tehditler arasında başka bir kötü amaçlı Linux yazılımı bunlardan çok daha tehditkâr görünüyor.  Bu yeni yazılım bir sudo emir komutu güvenlik açığını kullanarak herhangi etkilenmiş sisteme kök erişimi sağlanmasını mümkün kılıyor.

 

Sudo nedir?

Sudo, bu komutu veren hesabın türüne bağlı olarak “substitute user do” (yedek kullanıcı olarak) ya da “super user do” (süper kullanıcı olarak) anlamlarına gelmektedir. Linux üzerinde kök kullanıcı makinede kritik değişiklikler yapma yetisine sahiptir ve bu nedenle de onlara “süper kullanıcı” adı verilmiştir. Linux’ta bulunan yönetici uygulamaları, ya süper kullanıcıya geçiş yaparak –süper kullanıcı komutunu kullanarak- ya da sudo komutundan faydalanarak çalıştırılmaktadır. İşte bu kötü amaçlı yazılım da tam olarak burada karşımıza çıkıyor. Qualys Security şirketi, Linux için the “get_process_ttyname()” sudo komut işlevinde bir zayıf nokta keşfetti ve kötü amaçlı yazılım yönetici yetkilerine sınırsız erişim sağlamak için bunu kullanıyor.

Sudo zayıf noktası ve yapabilecekleri

Bu zayıf nokta sudo’nun tty bilgisini statü dosyasından çözümleme şeklinde yatmaktadır; bu zayıf nokta Qualys Security ekibi tarafından CVE-2017-1000367 olarak tanımlandı. Qualys Security uzmanları tarafından açıklandığı üzere, sudo komutu cihaz numarası ve cihaz tipini belirlemek için statü dosyasını çözümlemektedir; bunu da alan 7’de (tty_nr) tty’nin bulunması ile yapar. Genellikle, statü dosyalarının alanlarında yer sınırlaması bulunur, ancak sudo tarafından hesaba katılmayan beyaz alana bir emir adı eklemek mümkündür. Böylelikle, sudo ayrıcalığına sahip olan bir yerel kullanıcı sudo’nun kendi seçtiği bir cihaz numarasını kullanmasına neden olabilir. Bunun sonucu ise, kök kullanıcının dosyaları da dahil olmak üzere dosya sisteminde herhangi bir dosyanın üzerine yazma yetisidir.

Bu sudo zayıf noktasının kötü amaçla kullanılmasının iki yolu bulunmaktadır:

  • Bir kullanıcı, o anda başka bir kullanıcı tarafından kullanılmakta olan bir terminale denk gelen bir cihaz numarası seçebilir. Bu da saldırıyı gerçekleştiren kişinin, eğer bir sudo komutundan erişim okunmuş ve yazılmışsa rastgele bir terminal cihazı üzerinde herhangi bir emri çalıştırmasına imkan tanır. Bunu yapmak, saldırıyı gerçekleştiren kişinin başka bir kullanıcı terminalinden hassas verileri okumak gibi şeyler yapmasına izin verir.
  • Bir kullanıcı aynı zamanda /dev altında o anda mevcut olmayan bir cihaz numarası seçebilir. Eğer cihaz numarası orada bulunmuyorsa, sudo /dev üzerinde bir önce-enine arama gerçekleştirecektir. Eğer aramanın gerçekleştirilmesinden önce bir sahte terminal atanmış ise, o halde saldırıyı gerçekleştiren kişi /dev altındaki genel-yazılabilir dizin (/dev/hsz gibi) içerisinde yeni oluşturulan cihaz ile sembolik bir bağlantı kurabilir. Sudo komut satırında bir SELinux rolü belirtildiği zaman bu dosya, standart girdi, çıktı ve hata olarak kullanılacaktır. /dev/hsz altındaki sembolik bağlantının sudo tarafından açılmadan önce başka bir dosya bağlantısı ile değiştirilmesi halinde, standart çıktı veya standart hataya yazarak rastgele bir dosyanın üzerine yazmak mümkün olur. Bu durum, etc/shadow ve hatta etc/sudoers gibi güvenilen bir dosyanın üzerine yazılmasıyla tam kök erişimi noktasına kadar gelebilir.

Daha fazla bilgi için lütfen Qualys Security tavsiyesini okuyun.

 

Desktop Central bu sudo güvenlik açığını nasıl kolaylıkla ortadan kaldırabilir?

Bu zayıf nokta Sudo 1.8.6p7 ile 1.8.20 arası sürümleri etkilemektedir; yüksek önem derecesi verilmiş ve Sudo 1.8.20p1 ile halihazırda yamalanmıştır. Red Hat, 30 Mayıs’ta Red Hat Enterprise Linux 6 ve 7 ile birlikte Red Hat Enterprise Linux Server için yamalar yayınlamıştır. Debian da Wheezy, Jessie ve Sid sürümleri için güncellemeler yayınladı ve SUSE Linux onların ürünleri için de güncellemeler sundu.

Bu güvenlik açığını düzeltmenin en iyi yolu Linux sisteminizi güncellemektir. Ubuntu ve Debian sistemlerinizi güncellemenin en kolay yolu bunu Desktop Central’dan doğrudan yapmaktır. Desktop Central, ilgili sağlayıcının 30 Mayıstaki sürümünden hemen sonra, 31 Mayıs itibarıyla Debian ve Ubuntu yamalarını desteklemeye başladı. Çeşitli platformlar ve uygulamalar için her geçen gün yeni tehditler ortaya çıkıyor, bu nedenle güncelleme yaparak ağınızın tamamını kötü amaçlı yazılım veya reklam yazılımlarından koruyun. Windows, Mac ve Linux cihazlarınızı –ve 250’den fazla üçüncü taraf uygulamayı doğrudan Desktop Central’dan güncelleyin.