NIMBUSPWN olarak toplu olarak izlenen yeni bir güvenlik açıkları seti, yerel saldırganların Linux sistemlerindeki ayrıcalıkları, arka planlardan fidye yazılımlarına kadar kötü amaçlı yazılım dağıtmasına izin verebilir.
Microsoft'taki güvenlik araştırmacıları, bugün bir rapordaki sorunları, savunmasız bir sistemde kök ayrıcalıklarına ulaşmak için birlikte zincirlenebileceklerini belirtti.
CVE-2022-29799 ve CVE-2022-29800 olarak izlenen NIMBUSPWN güvenlik sorunları, Linux makinelerinde bağlantı durumu değişiklikleri gönderen bir bileşen olan NetworkD-Dispatcher'da keşfedildi.
Güvenlik açıklarını keşfetmek, araştırmacıları NetworkD-Dispatcher için kod akışını gözden geçirmeye yönlendiren “Sistem veri yolunda mesajları dinlemek” ile başladı.
NIMBUSPWN güvenlik kusurları, dizin geçiş, SymLink yarışı ve kullanım süresi (Toctou) yarış koşulu sorunlarını ifade eder, Microsoft araştırmacısı Jonathan Bar veya raporda diyor.
İlginin bir gözlemi, NetworkD-Dispatcher Daemon'un sistemdeki kök ayrıcalıklarıyla önyükleme zamanında koşmasıydı.
Araştırmacı, Daemon'un algılanan ağ durumuna bağlı olarak komut dosyalarını keşfetmek ve çalıştırmak için “_run_hooks_for_state” adlı bir yöntem kullandığını fark etti.
“_Run_hooks_for_state” tarafından uygulanan mantık, kök kullanıcının sahip olduğu yürütülebilir komut dosyası dosyalarını ve “/etc/networkd-dispatcher/.d” dizininde bulunan kök grubu içerir.
Özel ortam değişkenleri sağlanırken SubProcess.popen adlı işlemi kullanarak her komut dosyasını yukarıdaki konumda çalıştırır.
Microsoft’un raporu, “_RUN_HOOKS_FOR_STATE” ın birden fazla güvenlik sorunu olduğunu açıklıyor:
Sistemde düşük ayrıcalıklara sahip bir saldırgan, keyfi bir sinyal göndererek kök seviyesi izinlere yükselmek için yukarıdaki güvenlik açıklarını bir araya getirebilir.
Saldırının üç aşamasını kapsayan aşağıdaki resimde başarılı bir sömürü için adımlara genel bir bakış yakalanır:
Toctou yarış koşulunu kazanan çubuk veya notlar birden fazla dosya dikmeyi gerektirir. Özel bir istismar uygulama deneyinde, üç denemeden sonra başarı kaydedildi.
Sustamya kodu ayrıcalıklı bir hizmet veya süreç altında bir otobüs adına sahip olabildiğinde NIMBUSPWN'den başarılı bir şekilde yararlanmak mümkündür.
Araştırmacı, bunun mümkün olan birçok ortam olduğunu söylüyor, burada “normalde“ org.freedesktop.network1 ”[Araştırmada kullanılan] otobüs adına sahip olan Systemd-Networkd hizmetinin, otobüs adı varsayılan olarak botta başlamadığını söylüyor. "
Ek olarak, çubuk veya dünya tarafından yazılabilir konumlardan keyfi kod yürüten ek “Systemd-Network kullanıcısı olarak çalışan süreçler” bulundu: ör. Birkaç GPGV eklentisi (Apt-Get yüklendiğinde veya yükseltmeler olduğunda başlatılır), bazı senaryolar altında keyfi kodun çalıştırılmasına izin veren Erlang bağlantı noktası haritacı daemon (EPMD).
NetworkD-Dispatcher'ın bakımı Clayton Craft, NIMBUSPWN güvenlik açıklarını ele alan gerekli güncellemeleri dağıttı.
Linux kullanıcılarının, düzeltmeler işletim sistemleri için kullanılabilir hale gelir gelmez sistemlerini düzeltmeleri önerilir.
CISA, Windows Baskı Makaralı Hatası'nı kullanan saldırganları uyarıyor
Cisa, orgs'ı aktif olarak sömürülen Windows LPE hatasını yamaya uyarıyor
Microsoft: Ukrayna, istiladan önce Foxblade kötü amaçlı yazılımlarla vuruldu
Microsoft, Rusya'nın yüzlerce siber saldırı ile Ukrayna'yı vurduğunu söylüyor
Bu sertifika hazırlık paketiyle Microsoft Azure Becerilerinizi geliştirin
Kaynak: Bleeping Computer