Linux Kernel ‘StackRot’ Privilege Escalation Vulnerability
ظهرت مؤخرًا ثغرة أمنية في نواة لينكس تم اكتشافها، وتتيح هذه الثغرة للمستخدم الحصول على صلاحيات مرتفعة (privilege escalation) على جهاز الضحية.
وتعني هذه الثغرة أن المهاجم يمكنه الوصول إلى صلاحيات مرتفعة على النظام المستهدف وتنفيذ الأوامر الخبيثة، وهذا يعد خطرًا كبيرًا على أمن وسلامة النظام والبيانات المخزنة فيه.
تم تسمية الثغرة الأمنية الحديثة باسم StackRot CVE-2023-3269، وتم تقييم الثغرة من قبل نظام تقييم نقاط الضعف CVSS بمقدار 7.8، مما يعني أنها ثغرة عالية الخطورة (high-risk vulnerability). أثرت الثغرة الأمنية نظام التشغيل لينكس بين الإصدار 6.1 و 6.4، ولم يتم الكشف عن أي دليل يشير إلى أن الثغرة تم استغلالها من قبل أي مجموعة اختراق متقدمة APT Group أو أي شخص آخر في الوقت الحالي.
صرح الباحث الأمني Ruihan Li في جامعة بكين بأن StackRot هي ثغرة في نواة لينكس تم اكتشافها في نظام إدارة الذاكرة، وتؤثر على جميع تكوينات النواة. تتطلب هذه الثغرة مهارات وقدرات عالية للاستغلال، ويجب على المهاجمين الحصول على صلاحيات المستخدم المحلي في النظام المستهدف قبل استغلال الثغرة للحصول على صلاحيات مرتفعة (privilege escalation).
وبما أن هذه الثغرة تتطلب مهارات عالية للاستغلال، فمن المرجح أن يتم استغلالها بواسطة مهاجمين متقدمين وليس بواسطة المهاجمين العشوائيين. ومع ذلك، فإنه يجب على جميع المستخدمين تحديث أنظمتهم وتفعيل الإجراءات الأمنية المناسبة لتفادي الثغرة وحماية أنفسهم وأنظمتهم من الهجمات الخبيثة.
يعد تعامل المسؤولين مع الخلل الأمني في نظام لينكس بسرعة وفعالية علامة على الجهود المبذولة لحماية الأنظمة والبيانات من الهجمات الخبيثة. وقد قاد Linus Torvalds الجهود لإصلاح الثغرة في الإصدارات الثابتة 6.1.37، 6.3.11، و 6.4.1، وهذا يضمن أن المستخدمين الذين يستخدمون هذه الإصدارات يمكنهم تحديث أنظمتهم وحماية أنفسهم من الثغرة.
proof-of-concept (PoC)
ومن المتوقع أن يتم الكشف عن استغلال تلك الثغرة والتفاصيل الفنية الكاملة لهذا الخلل الأمني (POC) في نهاية شهر يوليو 2023، وهذا سيساعد المستخدمين على فهم كيفية عمل الثغرة وما يمكنهم القيام به لحماية أنظمتهم من الهجمات المحتملة. ويجب على المستخدمين الاستمرار في متابعة تطورات هذه الثغرة وتحديث أنظمتهم بأحدث الإصدارات المتاحة وتنفيذ إجراءات الأمان اللازمة للحد من خطر الاختراق.
تمثل الخلل الأساسي في هيكل البيانات Maple Tree الذي تم تقديمه في نواة لينكس في الإصدار 6.1 كبديل لـ Red-Black-Tree(rbtree) في إدارة وتخزين virtual memory areas (VMAs)، وهي مجموعة متصلة من العناوين الظاهرية التي يمكن أن تكون محتواها ملفًا على القرص الصلب أو الذاكرة التي يستخدمها البرنامج على نظام التشغيل أثناء التشغيل.
وتعمل هذه الهياكل على تنظيم المساحة الظاهرية (virtual space) للعمليات والإدارة الفعالة للذاكرة. وتم اكتشاف أن Maple Tree يعاني من ثغرة أمنية تسمح للمهاجمين بتعديل العناصر في الهيكل وإجراء عمليات غير مصرح بها، مما يؤدي إلى قراءة أو كتابة غير مصرح بها في الذاكرة والحصول على صلاحيات مرتفعة.
وتم وصف هذا الخلل ك Use-After-Free يمكن استغلال الخلل من مستخدم مجلي موجود علي النظام لختراق النواة وتصعيد الامتيازات من خلال الاستفادة من Maple Tree التي يمكن ان تتعرض الي الاستبدال بدون امتلاك اي قفل صحيح للكتابة في الذاكرة.
الخلل الذي تم الإبلاغ عنه في Maple Tree يتمثل في Use-After-Free vulnerability، وهذا يعني أن المهاجم يمكنه الاستفادة من الهيكل بعد أن تم حذفه (Free) من الذاكرة، وهذا يسمح للمهاجم بتعديل بيانات الذاكرة بطريقة غير مصرح بها وبالتالي تصعيد الامتيازات والوصول إلى مستوى صلاحيات أعلى.
ويمكن استغلال هذا الخلل من قبل مستخدم مجلي موجود على النظام لاختراق النواة وتصعيد الامتيازات، وذلك باستغلال الثغرة في Maple Tree التي يمكن أن تتعرض للاستبدال بدون وجود أي قفل صحيح للكتابة في الذاكرة.
لذلك، يجب على المستخدمين القيام بتحديث أنظمتهم وتفعيل الإجراءات الأمنية اللازمة لتفادي الثغرة وحماية أنفسهم وأنظمتهم من الهجمات الخبيثة. وينصح بتطبيق مبادئ الأمان القياسية، مثل تقليل صلاحيات المستخدمين، وتشفير البيانات الحساسة، وتحديث البرامج والنظام بانتظام.
