CVE-2023-32233 Netfilter Nf_tables Güvenlik Açığı Nedir ?

'BARBAROS

'BARBAROS

Uzman üye
19 Haz 2021
1,717
1,075
المملكة العربية السعودية - ממלכת שמיים
a3b2jeo.png

logo.png


Görsel


CVE-2023-32233 Netfilter Nf_tables Güvenlik Açığı Nedir ?

Son zamanlarda, kötü niyetli yerel kullanıcılara Linux Kernel sürümleri 6.3.1 ve daha eski sürümlerde shell izinlerini elde etme imkanı sağlayan bir kullanıcı-sonrası-özgür güvenlik açığı (CVE-2023-32233) yayımlandı.

Bu sorun, araştırmacılar Patryk Sondej ve Piotr Krysiuk tarafından bildirildi ve Netfilter nf_tables modülündeki anonim küme hatalı bir şekilde işlenmesinden kaynaklanmaktadır ve bu durum, çekirdek bellek alanında okuma ve yazma işlemlerini gerçekleştirmek için kötüye kullanılabilir.

Etkilenen nf_tables modülünün birçok Linux dağıtımında varsayılan olarak etkin olduğunu belirtmek önemlidir, bu nedenle potansiyel olarak etkilenen sistem sayısı yüksektir.

Güvenlik açığı 8 Mayıs 2023 tarihinde bildirilmiş olmasına rağmen, ilgili saldırıları başarılı bir şekilde gerçekleştiren işlevsel kanıtlar son günlerde kamusal depolarda yayınlanmaktadır:



oie_K181kWYss1C2.gif


CVE-2023-32233 Ana Özellikler

CVE-2023-32233 güvenlik açığının ana özellikleri aşağıda detaylandırılmıştır:

CVE tanımlayıcı: CVE-2023-32233.
Yayınlanma tarihi: 08/05/2023.
Etkilenen yazılım: Linux Kernel.
CVSS Puanı: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8 Yüksek).
Etkilenen sürümler: 6.3.1 ve daha eski sürümler.
Sömürü gereksinimleri: CAP_NET_ADMIN ayrıcalıklarına sahip olmak ve netfilter girişlerini manipüle edebilmek gerekmektedir.
CVE-2023-32233 Önleme
Ana çözüm, bu güvenlik açığını düzelten yeni 6.3.2 veya daha sonraki Linux çekirdeğine acil bir şekilde yükseltmektir.

Diğer çalışma yöntemleri şunları içerebilir:

Etkilenen Netfilter modülünün çalışmasını engellemek, örneğin Red Hat rehberlerinde belirtildiği gibi: How do I prevent a kernel module from loading automatically? - Red Hat Customer Portal
Netfilter modülünün çalışmasını engellemek mümkün değilse, kullanıcı adı alanlarının oluşturulmasını devre dışı bırakmak mümkündür. Aşağıda bu işlemi uygulamak için Red Hat ve Debian dağıtımlarında iki örnek verilmiştir:
Red Hat:


Kod: 
# echo “user.max_user_namespaces=0” > /etc/sysctl.d/userns.conf

# sysctl -p /etc/sysctl.d/userns.conf


Debian

Kod: 
# sysctl -w kernel.unprivileged_userns_clone=0

Kaynaklar :

seclists.org

oss-sec: [CVE-2023-32233] Linux kernel use-after-free in Netfilter nf_tables when processing batch requests can be abused to perform arbitrary reads and writes in kernel memory

seclists.org seclists.org

NVD - CVE-2023-32233

nvd.nist.gov nvd.nist.gov
github.com

GitHub - oferchen/POC-CVE-2023-32233: Use-After-Free in Netfilter nf_tables when processing batch requests CVE-2023-32233

Use-After-Free in Netfilter nf_tables when processing batch requests CVE-2023-32233 - oferchen/POC-CVE-2023-32233
github.com github.com

a3b2jeo.png
 
Arenklord

Arenklord

Uzman üye
9 Mar 2023
1,294
666
Orta doğu
'BARBAROS' Alıntı:
a3b2jeo.png

logo.png


Görsel


CVE-2023-32233 Netfilter Nf_tables Güvenlik Açığı Nedir ?

Son zamanlarda, kötü niyetli yerel kullanıcılara Linux Kernel sürümleri 6.3.1 ve daha eski sürümlerde shell izinlerini elde etme imkanı sağlayan bir kullanıcı-sonrası-özgür güvenlik açığı (CVE-2023-32233) yayımlandı.

Bu sorun, araştırmacılar Patryk Sondej ve Piotr Krysiuk tarafından bildirildi ve Netfilter nf_tables modülündeki anonim küme hatalı bir şekilde işlenmesinden kaynaklanmaktadır ve bu durum, çekirdek bellek alanında okuma ve yazma işlemlerini gerçekleştirmek için kötüye kullanılabilir.

Etkilenen nf_tables modülünün birçok Linux dağıtımında varsayılan olarak etkin olduğunu belirtmek önemlidir, bu nedenle potansiyel olarak etkilenen sistem sayısı yüksektir.

Güvenlik açığı 8 Mayıs 2023 tarihinde bildirilmiş olmasına rağmen, ilgili saldırıları başarılı bir şekilde gerçekleştiren işlevsel kanıtlar son günlerde kamusal depolarda yayınlanmaktadır:



oie_K181kWYss1C2.gif


CVE-2023-32233 Ana Özellikler

CVE-2023-32233 güvenlik açığının ana özellikleri aşağıda detaylandırılmıştır:

CVE tanımlayıcı: CVE-2023-32233.
Yayınlanma tarihi: 08/05/2023.
Etkilenen yazılım: Linux Kernel.
CVSS Puanı: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (7.8 Yüksek).
Etkilenen sürümler: 6.3.1 ve daha eski sürümler.
Sömürü gereksinimleri: CAP_NET_ADMIN ayrıcalıklarına sahip olmak ve netfilter girişlerini manipüle edebilmek gerekmektedir.
CVE-2023-32233 Önleme
Ana çözüm, bu güvenlik açığını düzelten yeni 6.3.2 veya daha sonraki Linux çekirdeğine acil bir şekilde yükseltmektir.

Diğer çalışma yöntemleri şunları içerebilir:

Etkilenen Netfilter modülünün çalışmasını engellemek, örneğin Red Hat rehberlerinde belirtildiği gibi: How do I prevent a kernel module from loading automatically? - Red Hat Customer Portal
Netfilter modülünün çalışmasını engellemek mümkün değilse, kullanıcı adı alanlarının oluşturulmasını devre dışı bırakmak mümkündür. Aşağıda bu işlemi uygulamak için Red Hat ve Debian dağıtımlarında iki örnek verilmiştir:
Red Hat:


Kod: 
# echo “user.max_user_namespaces=0” > /etc/sysctl.d/userns.conf

# sysctl -p /etc/sysctl.d/userns.conf


Debian

Kod: 
# sysctl -w kernel.unprivileged_userns_clone=0

Kaynaklar :

seclists.org

oss-sec: [CVE-2023-32233] Linux kernel use-after-free in Netfilter nf_tables when processing batch requests can be abused to perform arbitrary reads and writes in kernel memory

seclists.org seclists.org

NVD - CVE-2023-32233

nvd.nist.gov nvd.nist.gov
github.com

GitHub - oferchen/POC-CVE-2023-32233: Use-After-Free in Netfilter nf_tables when processing batch requests CVE-2023-32233

Use-After-Free in Netfilter nf_tables when processing batch requests CVE-2023-32233 - oferchen/POC-CVE-2023-32233
github.com github.com

a3b2jeo.png
Genişletmek için tıkla ...
Eline sağlık rotkit taramaları bu konuda nasıl rol alıyor
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.