Linux Kullanıcıları Dikkat!: CVE-2024-1086

Merhaba sevgili okuyucularım çağımızın en büyük gereklilikleri arasında güvenlik geldiğini hepimiz az çok fark ettik. Bu sebeple artık cihazlarımızda birçok güvenlik önlemini kendimiz almaya başladık peki ya alamadıklarımız? Bu yazımda sizlere Linux üzerinde keşfedilen serberst bırakma tabanlı yetki yükseltme güvenlik açığını inceleyeceğiz. 

CVE-2024-1086, Linux kernel'in netfilter alt sisteminde bulunan bir kullanıldıktan sonra serbest bırakma (use-after-free) güvenlik açığıdır. Bu açık, bir saldırganın yerel ayrıcalık yükseltmesi (local privilege escalation) elde etmesine olanak tanır.

Teknik Detaylar:

CVE-2024-1086, nft_verdict_init() fonksiyonunun drop error değerini kabul etmesindeki bir hatadan kaynaklanır. Bu hata, nf_hook_slow() fonksiyonunun NF_DROP ile çağrıldığında ve drop error değeri NF_ACCEPT'e benzediğinde çifte serbest bırakma (double free) hatasına yol açabilir.

Etkilenen Sistemler:

CVE-2024-1086: Linux kernel'de bulunan "kullanıldıktan sonra serbest bırakma" (use-after-free) güvenlik açığı, v5.14 ile v6.6 arasındaki Linux kernel sürümlerini etkiler.

Bu sürümler, Debian, Ubuntu, KernelCTF ve AlmaLinux OS dahil olmak üzere birçok popüler Linux dağıtımında kullanılmaktadır.

Etkilenen Dağıtımlar ve Sürümleri:

• Debian: bullseye, bookworm
• Ubuntu: 22.04 LTS, 22.10
• KernelCTF: 5.14, 5.15, 5.16, 5.17, 5.18, 5.19, 5.20, 5.21, 5.22, 5.23, 5.24, 5.25, 5.26, 5.27, 5.28, 5.29, 5.30, 5.31, 5.32, 5.33, 5.34, 5.35, 5.36, 5.37, 5.38, 5.39, 5.40, 5.41, 5.42, 5.43, 5.44, 5.45, 5.46, 5.47, 5.48, 5.49, 5.50, 5.51, 5.52, 5.53, 5.54, 5.55, 5.56, 5.57, 5.58, 5.59, 5.60, 5.61, 5.62, 5.63, 5.64, 5.65, 5.66
• AlmaLinux OS: 8.9, 9.0

Not: Bu liste, etkilenen tüm dağıtımları ve sürümleri kapsamayabilir. En güncel bilgi için, kullandığınız dağıtımın resmi web sitesini kontrol etmeniz önerilir. İlgili güncelleştirmeleri de derhal yükleyiniz.

Saldırı Senaryosu:

Bir saldırgan, CVE-2024-1086 açıklığını kullanarak yerel ayrıcalık yükseltmesi (local privilege escalation) elde edebilir. Bunu yapmak için saldırgan, öncelikle açıktan yararlanan bir kod çalıştırması gerekir. Bu kod, etkilenen sisteme yüklendikten sonra, saldırganın kök ayrıcalıklarıyla kod çalıştırmasına izin verecek şekilde kernel belleğini bozabilir.

Zafiyetin Ciddiyeti:

CVE-2024-1086, yerel ayrıcalık yükseltmesine izin veren ciddi bir güvenlik açığıdır. Bu nedenle, tüm kullanıcıların etkilenen sistemlerini en kısa sürede güncellemesi önemlidir.

Zafiyetin Azaltılması:

CVE-2024-1086 açığı, etkilenen sistemler için bir kernel güncellemesi yayınlanarak düzeltilmiştir. Tüm kullanıcıların en kısa sürede sistemlerini güncellemesi önemlidir.

Ek Kaynaklar:

Aşağıdaki kaynaklardan daha detaylı verilere ulaşabilirsiniz.

• CVE-2024-1086: https://nvd.nist.gov/vuln/detail/CVE-2024-1086
• AlmaLinux OS - CVE-2024-1086 ve XZ: https://lwn.net/Articles/961331/
• CVE-2024-1086 Zafiyeti - CloudLinux OS sunucuları için Azaltma: https://blog.cloudlinux.com/cve-2024-1086-vulnerability-mitigation-for-cloudlinux-os-servers
• CVE-2024-1086: https://cve.mitre.org/
• Notselwyn/CVE-2024-1086: https://github.com/advisories/GHSA-gfh2-2mj9-m2cx
• Linux Kernel Privilege Escalation Vulnerability (CVE-2024-1086) Alert: https://vulners.com/redhatcve/RH:CVE-2024-1086
• Easy privilege escalation exploit lands for Linux kernels: https://vulners.com/redhatcve/RH:CVE-2024-1086
• Patches for CVE-2024-1086 for CloudLinux 6h, 7 Users on KernelCare Live: https://securityboulevard.com/2024/04/update-for-kernelcare-live-patches-for-cve-2024-1086-in-almalinux-8-9/
• CVE-2024-1086 GitHub: https://github.com/Notselwyn/CVE-2024-1086

Sonuç olarak sistemlerimizde bizim kontrollerimiz dışında da birçok güvenlik açığı ortaya çıkabilir. Bu gibi güvenlik açıklarından korunmak için genel manada alabileceğimiz kişisel güvenlik farkındalıklarından bahsettiğim yazımı da yakın bir zamanda yayınlayacağım. Sistem güncelleştirmelerinizi lütfen kontrol edip güncel ve güvenli kalmaya dikkat edin. Umarım sizler için faydalı olmuştur. Zaman ayırıp okuduğunuz için teşekkür ederim.