عمليات استغلال إثبات المفهوم (PoC) لـ ثغرة أمنية CVE-2023-4911، يطلق عليها اسم Looney Tunables، تم تطويرها بالفعل، بعد الكشف في الأسبوع الماضي عن الثغرة الحرجة لتجاوز سعة المخزن المؤقت الموجودة في مكتبة GNU C المستخدمة على نطاق واسع (glibc) والموجودة في توزيعات Linux المختلفة.
والباحث الأمني المستقل بيتر جيسلر؛ وويل دورمان، محلل ثغرات البرمجيات في معهد كارنيجي ميلون لهندسة البرمجيات؛ وطالب هولندي في مجال الأمن السيبراني في جامعة أيندهوفن للتكنولوجيا من بين الذين ينشرون يستغل PoC على جيثب وفي أماكن أخرىمما يشير إلى احتمال حدوث هجمات واسعة النطاق في البرية قريبًا.
يشكل الخلل، الذي كشف عنه باحثو Qualys، خطرًا كبيرًا يتمثل في الوصول غير المصرح به إلى البيانات، وتعديلات النظام، وسرقة البيانات المحتملة للأنظمة التي تشغل Fedora، وUbuntu، وDebian، والعديد من توزيعات Linux الرئيسية الأخرى، مما قد يمنح المهاجمين امتيازات الجذر على عدد لا يحصى من أنظمة Linux.
أشارت مقالة Qualys إلى أنه بالإضافة إلى استغلال الثغرة الأمنية بنجاح والحصول على امتيازات الجذر الكاملة على التثبيتات الافتراضية لـ Fedora 37 و38 وUbuntu 22.04 و23.04 وDebian 12 و13، فمن المحتمل أيضًا أن تكون التوزيعات الأخرى معرضة للخطر وقابلة للاستغلال.
"هذا التهديد الملموس لأمن النظام والبيانات، إلى جانب احتمال دمج الثغرة الأمنية في الأدوات أو البرامج الضارة الآلية مثل مجموعات الاستغلال والروبوتات، يزيد من خطر الاستغلال على نطاق واسع وانقطاع الخدمة،" سعيد عباسي، مدير المنتجات في كواليس وحدة أبحاث التهديدات، تم الإعلان عنها الأسبوع الماضي عندما تم الكشف عن الخلل.
تهديد متعدد الأوجه
يمكن أن تكون عمليات الاستيلاء على جذر Linux خطيرة للغاية لأنها توفر للمهاجمين أعلى مستوى من التحكم في نظام يستند إلى Linux، ويسهل الوصول إلى الجذر تصعيد الامتيازات عبر الشبكة، مما قد يؤدي إلى تعريض أنظمة إضافية للخطر، مما يؤدي إلى توسيع نطاق الهجوم.
في شهر يوليو، على سبيل المثال، ظهرت ثغرتان أمنيتان في تطبيق Ubuntu لنظام ملفات شائع يعتمد على الحاويات سمح للمهاجمين لتنفيذ تعليمات برمجية بامتيازات الجذر على 40% من أحمال العمل السحابية على Ubuntu Linux.
إذا تمكن المهاجمون من الوصول إلى الجذر، فإنهم يتمتعون بشكل أساسي بسلطة غير مقيدة لتعديل أو حذف أو استخراج البيانات الحساسة، أو تثبيت برامج ضارة أو أبواب خلفية في النظام، مما يؤدي إلى استمرار الهجمات المستمرة التي تظل غير مكتشفة لفترات طويلة.
غالبًا ما تؤدي عمليات الاستيلاء على الجذر بشكل عام إلى خروقات البيانات، مما يسمح بالوصول غير المصرح به إلى المعلومات الحساسة مثل بيانات العملاء والملكية الفكرية والسجلات المالية، ويمكن للمهاجمين تعطيل العمليات التجارية عن طريق التلاعب بملفات النظام المهمة.
غالبًا ما يؤدي هذا التعطيل لعمليات النظام المهمة إلى انقطاع الخدمة أو إعاقة الإنتاجية، مما يؤدي إلى خسائر مالية والإضرار بسمعة المنظمة.
إن تهديد الاستيلاء على الجذر مستمر ومتوسع - على سبيل المثال، ظهرت مؤخرًا حزمة npm مطبعية تخفي خدمة كاملة للوصول عن بعد من Discord Trojan RAT. الفئران هي أ أداة rootkit وأداة القرصنة مما يقلل من حاجز الدخول لشن هجمات على سلسلة توريد البرامج مفتوحة المصدر.
الحفاظ على الأنظمة آمنة
لقد أدى النمو الهائل لقاعدة توزيع Linux إلى جعلها هدف أكبر للجهات الفاعلة في مجال التهديد، وخاصة عبر البيئات السحابية.
لدى المؤسسات خيارات متعددة يمكن اتخاذها لحماية نفسها بشكل استباقي من عمليات الاستيلاء على جذر Linux - على سبيل المثال، التصحيح والتحديث المنتظم لنظام التشغيل Linux وبرامجه وفرض مبدأ الامتياز الأقل لتقييد الوصول.
وتشمل الخيارات الأخرى نشر أنظمة كشف التسلل ومنعه (IDS/IPS) وتعزيز ضوابط الوصول المدعومة بالمصادقة متعددة العوامل (MFA)، بالإضافة إلى مراقبة سجلات النظام وحركة مرور الشبكة وإجراء عمليات التدقيق الأمني وتقييمات الضعف.
وفي وقت سابق من هذا الشهر، أعلنت أمازون أنها ستضيف متطلبات وزارة الخارجية الجديدة للمستخدمين الذين يتمتعون بأعلى الامتيازات، مع خطط لتضمين مستويات مستخدمين أخرى مع مرور الوقت.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/looney-tunables-linux-flaw-sees-snowballing-proof-of-concept-exploits
- :لديها
- :يكون
- 12
- 13
- 22
- 23
- 7
- a
- الوصول
- في
- الجهات الفاعلة
- تضيف
- إضافة
- إضافي
- السماح
- سابقا
- أيضا
- التعديلات
- أمازون
- المحلل
- و
- أعلن
- AS
- تقييم
- At
- مهاجمة
- الهجمات
- التدقيق
- التحقّق من المُستخدم
- السلطة
- الآلي
- خلفي
- حاجز
- قاعدة
- BE
- لان
- كان
- البوتات
- مخالفات
- العازلة
- تجاوز سعة المخزن المؤقت
- الأعمال
- by
- أتى
- CAN
- كارنيجي ميلون
- سلسلة
- سحابة
- الكود
- حل وسط
- إجراء
- مراقبة
- ضوابط
- استطاع
- إلى جانب
- حرج
- حاسم
- زبون
- بيانات العميل
- الأمن السيبراني
- خطير
- البيانات
- الوصول إلى البيانات
- خرق البيانات
- أمن البيانات
- الترتيب
- نشر
- كشف
- المتقدمة
- إفشاء
- خلاف
- تعطيل
- تشويش
- الاضطرابات
- توزيع
- التوزيعات
- يطلق عليها اسم
- الهولندية
- فرض
- الهندسة
- دخول
- البيئات
- التصعيد
- أساسيا
- مثال
- تنفيذ
- توسيع
- استغلال
- استغلال
- استغلال
- مآثر
- الأسي
- النمو الأسي
- يسهل
- قم بتقديم
- ملفات
- مالي
- عيب
- اتباع
- متابعيك
- في حالة
- وجدت
- تبدأ من
- بالإضافة إلى
- خدمة كاملة
- ربح
- العلاجات العامة
- منح
- التسويق
- القرصنة
- يملك
- أعلى
- جدا
- HTTPS
- التنفيذ
- in
- تتضمن
- معلومات
- تثبيت
- مثل
- معهد
- فكري
- الملكية الفكرية
- إلى
- IT
- JPG
- يوليو
- اسم العائلة
- قيادة
- الأقل
- مستوى
- ومستوياتها
- المكتبة
- ضوء
- مثل
- على الأرجح
- لينكس
- خسائر
- صنع
- رائد
- مدير
- ميلون
- MFA
- تعديل
- مراقبة
- شهر
- متعدد الأوجه
- مصادقة متعددة العوامل
- متعدد
- شبكة
- ازدحام انترنت
- وأشار
- الحصول على
- of
- خصم
- غالبا
- on
- جارية
- جاكيت
- المصدر المفتوح
- تعمل
- نظام التشغيل
- عمليات
- مزيد من الخيارات
- or
- منظمة
- أخرى
- انقطاع التيار
- على مدى
- صفقة
- خاصة
- الترقيع
- فترات
- بيتر
- خطط
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- اضغط لتتحدث
- الرائج
- يطرح
- ممكن
- محتمل
- يحتمل
- يقدم
- الوقاية
- مبدأ
- امتياز
- الامتيازات
- المنتج
- مدير المنتج
- إنتاجية
- الملكية
- حماية
- تزود
- سحب
- RAT
- مؤخرا
- تسجيل
- منتظم
- لا تزال
- عن بعد
- الوصول عن بعد
- سمعة
- بحث
- الباحث
- الباحثين
- بتقييد
- مما أدى
- النتائج
- أظهرت
- المخاطرة
- جذر
- تشغيل
- s
- نطاق
- أمن
- تدقيقات الأمن
- يرى
- حساس
- الخدمة
- عدة
- هام
- تطبيقات الكمبيوتر
- هندسة البرمجيات
- سلسلة توريد البرمجيات
- قريبا
- مصدر
- تقوية
- طالب
- بنجاح
- هذه
- تزويد
- سلسلة التوريد
- نظام
- أنظمة
- أخذ
- استيلاء
- ملموس
- تكنولوجيا
- أن
- •
- سرقة
- أنفسهم
- هم
- هؤلاء
- التهديد
- الجهات التهديد
- الوقت
- إلى
- أدوات
- حركة المرور
- حصان طروادة
- اثنان
- أوبونتو
- غير مصرح
- وحدة
- جامعة
- تحديث
- مستعمل
- مستخدم
- المستخدمين
- مختلف
- نقاط الضعف
- الضعف
- الضعيفة
- وكان
- أسبوع
- حسن
- كان
- التي
- على نحو واسع
- واسع الانتشار
- بري
- سوف
- مع
- سوف
- زفيرنت