افشا شدن یک آسیب‌پذیری جدید در کرنل لینوکس و یک بهره‌بردار PoC توسط یک هکر کلاه‌سفید

یک محقق سایبری به همراه Google Project Zero جزئیات و یک بهره‌بردار اثبات ادعا (PoC) را برای یک آسیب‌پذیری با شدت بالا که در کرنل لینوکس از نسخه کرنل ۳٫۱۶ تا ۴٫۱۸٫۸ وجود دارد، منتشر کرده است.

این آسیب‌پذیری کرنل (CVE-2018-17182) که توسط یک هکر کلاه‌سفید کشف شده است یک اشکال نامعتبرسازی cache در زیرسیستم^(۱) مدیریت حافظه لینوکس است که منجر به یک آسیب‌پذیری use-after-free می‌شود، که در صورت بهره‌برداری، می‌تواند به یک مهاجم اجازه دهد تا امتیازات در حد ریشه در سیستم مورد هدف داشته باشد.

آسیب‌پذیری‌های use-after-free یا UAF یک کلاس از اشکال تخریب حافظه می‌باشد که توسط کاربران غیرمجاز مورد بهره‌برداری قرار می‌گیرد تا داده‌ها را در حافظه تخریب کند یا تغییر دهد، فعال کردن آن‌ها منجر به ایجاد DoS (crash کردن سیستم) یا بالا بردن اختیارات برای به دست آوردن دسترسی مدیریتی به یک سیستم است.

بهره‌بردار کرنل لینوکس یک ساعت طول می‌کشد تا دسترسی در حد ریشه پیدا کند.

بااین‌حال، Horn می‌گوید که بهره‌بردار اثبات ادعای کرنل لینوکس او[۱] که برای استفاده در اختیار عموم قرار گرفته است، قبل از نمایش دادن یک root shell، حدود یک ساعت زمان می‌برد تا اجرا شود.”

Horn این آسیب‌پذیری را به سازندگان کرنل لینوکس در تاریخ ۱۲ سپتامبر گزارش کرد و تیم لینوکس این مشکل را فقط در دو روز در upstream kernel tree خود برطرف کرد، که Horn گفت “این عملیات نسبت به زمان برطرف کردن مشکلات توسط دیگر فروشندگان نرم‌افزار بسیار سریع بوده است.”

این آسیب‌پذیری کرنل لینوکس در تاریخ ۱۸ سپتامبر در لیست پستی oss-security منتشر شد و در نسخه‌های کرنل پایدار ۴٫۱۸٫۹، ۴٫۱۴٫۷۱، ۴٫۹٫۱۲۸ و ۴٫۴٫۱۵۷ در روز بعد برطرف شد.

همچنین در نسخه ۳٫۱۶٫۵۸ یک اصلاحیه وجود دارد.

توزیع‌های Debian و Ubuntu از لینوکس برای بیش از یک هفته کاربران را آسیب‌پذیر گذاشتند.

Horn به این نکته اشاره کرده که: “بااین‌حال، بودن یک اصلاحیه در کرنل upstream به‌طور خودکار به این معنی نیست که سیستم‌های کاربران درواقع وصله شده‌اند.”

این محقق با ناامیدی متوجه شد که برخی توزیع‌های اصلی لینوکس، ازجمله Debian و Ubuntu، به علت منتشر نکردن به‌روزرسانی‌های موردنیاز پس از یک هفته از افشا شدن این آسیب‌پذیری به‌طور عمومی، کاربران خود را در معرض حملات احتمالی قرار دادند[۲و۳].

تا روز چهارشنبه ۲۶ سپتامبر ۲۰۱۸، هر دو توزیع‌های Debian و Ubuntu با نسخه‌های ۱۶٫۰۴ و ۱۸٫۰۴ این آسیب‌پذیری را وصله نکرده‌اند.

بااین‌حال، پروژه Fedora در ۲۲ سپتامبر  ۲۰۱۸ یک وصله امنیتی را برای کاربران خود منتشر کرده است[۴].

Horn دراین‌باره نوشته است: “نسخه پایدار Debian یک کرنل مبتنی بر ۴٫۹ ارائه کرده است، اما آخرین به‌روزرسانی آن مربوط به ۲۱ سپتامبر ۲۰۱۸ بوده است. به همین ترتیب، Ubuntu نسخه ۱۶٫۰۴ یک کرنل را که آخرین به‌روزرسانی آن مربوط به تاریخ ۲۷ سپتامبر ۲۰۱۸ بوده است را نیز منتشر کرده است.”

“اندروید فقط یک ‌بار در ماه به‌روزرسانی‌های امنیتی را انجام می‌دهد. بنابراین، هنگامی‌که یک وصله امنیتی مهم در upstream در دسترس قرار گیرد، هنوز می‌تواند هفته‌ها طول بکشد تا کاربران واقعاً به آن دسترسی داشته باشند، مخصوصاً اگر تأثیر امنیتی به‌صورت عمومی اعلام نشود.”

در پاسخ به پست وبلاگ Horn، سازندگان Ubuntu می‌گویند که این شرکت احتمالاً وصله‌هایی را برای رفع این نقص کرنل لینوکس در ۱ اکتبر ۲۰۱۸ منتشر خواهد کرد[۵].

Horn دراین‌باره گفت، هنگامی‌که یک وصله در upstream کرنل پیاده‌سازی شود، آسیب‌پذیری و وصله به‌صورت عمومی منتشر می‌شوند، که در این صورت، می‌تواند به افراد موذی اجازه دهد تا یک بهره‌بردار کرنل لینوکس را برای مورد هدف قرار دادن کاربران توسعه دهند.

منابع

[۱] https://bugs.chromium.org/p/project-zero/issues/detail?id=1664

[۲] https://security-tracker.debian.org/tracker/CVE-2018-17182

[۳] https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-17182.html

[۴] https://bugzilla.redhat.com/show_bug.cgi?id=1631206#c8

[۵] https://googleprojectzero.blogspot.com/2018/09/a-cache-invalidation-bug-in-linux.html

[۶] https://thehackernews.com/2018/09/linux-kernel-exploit.html

(۱) subsystem