Yeni Linux pedit COW Exploit, Önbelleğe Alınmış İkili Dosyaları Zehirleyerek Kök Erişimini Etkinleştiriyor Dünya Geneli

Yeni Linux pedit COW Exploit, Önbelleğe Alınmış İkili Dosyaları Zehirleyerek Kök Erişimini Etkinleştiriyor

Linux çekirdeğinin trafik kontrol alt sistemindeki bir kusur, ayrıcalıklı olmayan yerel bir kullanıcının etkilenen sistemlerde kök kazanmasına izin ve...

Linux çekirdeğinin trafik kontrol alt sistemindeki bir kusur, ayrıcalıklı olmayan yerel bir kullanıcının etkilenen sistemlerde kök kazanmasına izin verebilir.

"pedit COW" olarak adlandırılan CVE-2026-46331, paket düzenleme eyleminde (act_pedit) paylaşılan sayfa önbellek belleğini bozan, sınır dışı bir yazma işlemidir. 16 Haziran'daki CVE görevinden sonraki bir gün içinde herkese açık, çalışan bir istismar ortaya çıktı. Red Hat, kusuru önemli olarak değerlendiriyor.

Bu istismar hiçbir zaman diskteki dosyaya dokunmaz. Bellekteki setuid kök ikili dosyasının (/bin/su) önbelleğe alınmış kopyasını zehirler, küçük bir veri enjekte eder ve değiştirilmiş görüntüyü kök olarak çalıştırır. Kök kabuk zaten açıkken dosya bütünlüğü kontrolleri temiz bir şekilde geri gelir.

Bu istismarın iki şeye ihtiyacı vardır: act_pedit'in yüklenebilir olması ve ayrıcalığı olmayan kullanıcı ad alanlarının açık olması, saldırgana hatayı tetiklemek için gereken ad alanı-yerel ağ oluşturma yeteneğini (CAP_NET_ADMIN) sağlar.

Test edilen RHEL ve Debian hedeflerinde her iki koşul da mevcuttu.

Hata Nasıl Çalışır?

Linux'un TC trafik kontrol aracı, pedit adı verilen bir eylemi kullanarak paket başlıklarını uçuş sırasında yeniden yazabilir. Bunu yapan çekirdek işlevi olan tcf_pedit_act()'ın, verileri düzenlemeden önce özel bir kopyasını oluşturması gerekir; standart yazma üzerine kopyalama modelidir.

Son ofsetler bilinmeden önce yazılabilir aralığı bir kez kontrol etti. Bazı düzenleme tuşları, konumlarını yalnızca çalışma zamanında çözer. Bu olduğunda, yazma işlemi özel olarak kopyalanan bölgenin dışına çıkar, böylece çekirdek, özel bir kopya yerine paylaşılan bir sayfa önbellek sayfasını değiştirir. Bu sayfa önbelleğe alınmış bir dosyaya aitse, dosyanın bellek içi görüntüsü bozuktur.

Desen tanıdık. Dirty Pipe, Copy Fail, DirtyClone ve Dirty Frag'in hepsi aynı şekli paylaşıyor: hızlı çekirdek yolu, yalnızca kendisine ait olmayan bir sayfaya yazıyor ve sayfa önbelleği bu etkiyi alıyor.

Burada yeni olan giriş noktasıdır. Ayrıcalıksız bir kullanıcı, tc eylemlerini bir kullanıcı ad alanı içinden yapılandırabilir, bu da onlara istismarın ihtiyaç duyduğu CAP_NET_ADMIN'i verir.

Etkilenen Sistemler

PoC yazarı, ayrıcalıksız kullanıcı ad alanlarının varsayılan olarak açık olduğu RHEL 10 ve Debian 13'te (trixie) ayrıcalıksız kullanımdan root'a kadar kötüye kullanım olduğunu bildirdi. Ubuntu 24.04, kullanıcı ad alanlarına hâlâ izin veren AppArmor profilleri aracılığıyla yönlendirme yürütülmesini gerektiriyordu. Ubuntu 26.04, AppArmor profillerinin ayrıcalıksız kullanıcı ad alanlarını kısıtlaması nedeniyle bu yolu varsayılan olarak engelliyor, ancak temeldeki çekirdek savunmasız kalıyor.

Düzeltmeler satıcıya göre bölünür.

Debian, güvenlik kanalı aracılığıyla trixie'yi düzeltti. Debian 11 ve 12 hala savunmasız olarak listeleniyor.

Ubuntu, 18.04'ten 26.04'e kadar desteklenen sürümleri 25 Haziran itibarıyla savunmasız olarak listeliyor.

Red Hat, RHEL 8, 9 ve 10'u etkilenenler olarak listeliyor; RHEL 7 bültende listelenmiyor.

Ne Yapmalı

Yamalı çekirdeği yükleyin ve yeniden başlatın. "Yerel kullanıcı"nın güvenilir kullanıcı anlamına gelmediği sistemlere öncelik verin: çok kiracılı ana bilgisayarlar, CI/CD çalıştırıcıları, Kubernetes düğümleri, derleme çalışanları ve paylaşılan araştırma veya laboratuvar makineleri.

Henüz yama yapamıyorsanız iki azaltım, istismar zincirini ortadan kaldırır. tc pedit kurallarına ihtiyaç duymayan sistemlerde modülün kullanımda olup olmadığını kontrol edin (lsmod | grep act_pedit), ardından yüklenmesini engelleyin:

echo 'act_pedit /bin/true'u yükle' | sudo tee /etc/modprobe.d/disable-act_pedit.conf

Alternatif olarak, ayrıcalığı olmayan kullanıcı ad alanlarını devre dışı bırakın (RHEL'de user.max_user_namespaces=0, Debian/Ubuntu'da kernel.unprivileged_userns_clone=0). Bu, istismarın ihtiyaç duyduğu ad alanı-yerel yeteneğini ortadan kaldırır, ancak köksüz kapsayıcıları, bazı CI sanal alanlarını ve korumalı alan tarayıcılarını bozar. Önce test edin.

Üzerine yazma işlemi önbelleğe alınmış belleği hedef aldığından, dosya bütünlüğü kontrolleri onu yakalayamayabilir. Sayfa önbelleğini bırakmak (echo 3 > /proc/sys/vm/drop_caches) zehirli bellek içi kopyayı temizler, ancak saldırganın zaten açmış olduğu kök kabuk hakkında hiçbir şey yapmaz. Ev sahibine tehlikedeymiş gibi davranın.

Düzeltme, rutin bir veri bozulması yaması olarak çerçevelenerek Mayıs ayı sonlarında netdev posta listesine eklendi. İstismar edilebilecek ayrıntı haftalarca halka açık bir e-posta listesinde kaldı. CVE yok, güvenlik uyarısı yok. CVE, 16 Haziran'da düzeltme birleştirildiğinde atandı.

Bunu bir gün içinde konsept f izledi. Çekirdek sayfa önbelleği bozulması hataları için tarayıcı kuralını beklemek çok yavaştır.

Paylaş: