MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

Two Linux flaws let local attackers steal secrets from crash dumps


ثغرات جديدة في لينكس تسمح بسرقة تجزئات كلمات المرور عبر ملفات Core Dump في Ubuntu وRHEL وFedora

كشف فريق أبحاث التهديدات بشركة Qualys عن ثغرتين جديدتين في أدوات معالجة تقارير الانهيار في أنظمة Linux، وهما apport وsystemd-coredump، والتي تُستخدم في توزيعات Ubuntu وRed Hat Enterprise Linux وFedora.

الثغرتان مسجلتان تحت الأرقام CVE-2025-5054 وCVE-2025-4598، وتُصنفان كـ "Race Condition Bugs" يمكن أن تسمح للمهاجم المحلي بالحصول على معلومات حساسة.

تفاصيل الثغرات

  • CVE-2025-5054 (تقييم CVSS: 4.7): خلل في حزمة apport من Canonical حتى الإصدار 2.32.0، يسمح للمهاجم المحلي بتسريب معلومات حساسة من خلال إعادة استخدام معرف العمليات PID باستخدام namespaces.
  • CVE-2025-4598 (تقييم CVSS: 4.7): خلل في systemd-coredump يسمح بإجبار عملية SUID على الانهيار واستبدالها بعملية غير SUID للوصول إلى محتوى الـ core dump للعملية الأصلية، ما قد يسمح للمهاجم بقراءة بيانات حساسة مثل ملف /etc/shadow.

SUID (Set User ID) هو إذن خاص يسمح بتشغيل البرامج بصلاحيات مالك الملف وليس المستخدم الفعلي، مما يجعل استغلاله ذا قيمة للمهاجمين.

كيف يتم الاستغلال؟

وفقًا لتصريح من Canonical، عند تحليل الانهيارات، يحاول apport التحقق مما إذا كانت العملية تعمل داخل container قبل متابعة تحليلها. إذا تمكن مهاجم محلي من إحداث انهيار لعملية ذات صلاحيات مرتفعة واستبدلها بسرعة بعملية تحمل نفس PID وتعمل داخل namespace مختلف، فقد يُسمح بإرسال بيانات الـ core dump للعملية الأصلية إلى العملية الجديدة.

التوصيات والتخفيف

أوصت Red Hat بإجراء مؤقت لتعطيل إمكانية إنشاء core dumps لبرامج SUID، وذلك عبر تنفيذ الأمر التالي كـ root:

echo 0 > /proc/sys/fs/suid_dumpable

هذا الإجراء يمنع النظام من إنتاج ملفات core dump عند انهيار برامج SUID، مما يحد من إمكانية تحليل البيانات الحساسة داخل هذه الملفات.

رغم ذلك، نبهت Red Hat أن هذا الحل يمنع إمكانية تحليل أخطاء البرامج ذات الصلاحيات المرتفعة في حال حدوث مشاكل.

وضع التوزيعات الأخرى

  • Debian: غير معرضة للثغرة CVE-2025-4598 بشكل افتراضي لأنها لا تتضمن systemd-coredump إلا في حال تثبيته يدويًا.
  • Ubuntu: لا تتأثر بـ CVE-2025-4598.
  • تم إصدار تحذيرات مماثلة من توزيعات Amazon Linux وGentoo.

استغلال عملي (PoC)

طورت Qualys كود Proof-of-Concept يُظهر كيف يمكن لمهاجم محلي استخراج تجزئات كلمات المرور من ملف /etc/shadow عن طريق استغلال core dump لعملية unix_chkpwd.

وأوضحت Canonical أن التأثير الفعلي للثغرة CVE-2025-5054 يقتصر على سرية مساحة ذاكرة البرامج SUID، وأن استغلالها في الواقع محدود.

لماذا الأمر خطير؟

أوضح Saeed Abbasi من شركة Qualys: "استغلال هذه الثغرات قد يؤدي إلى تسريب كلمات المرور، مفاتيح التشفير، أو بيانات العملاء من ملفات core dump، ما يسبب أضرارًا تشغيلية وسمعية، وحتى مشكلات قانونية وتنظيمية."

ونصح باتباع الإجراءات التالية لتقليل المخاطر:

  • تطبيق التحديثات والتصحيحات الأمنية بأولوية
  • مراقبة الأنظمة بحثًا عن نشاط غير معتاد
  • تقييد صلاحيات الوصول والتحكم في إنتاج ملفات core dump