Resmi kullanım süresinin sona ermesinden sadece iki hafta sonra CentOS 8 kullanıcılarını ciddi bir saldırı riskiyle karşı karşıya kaldı. LUKS şifrelemesinde yeni keşfedilen güvenlik açığı olan ve CVE-2021-4122 olarak takip zafiyet BT alt yapılarında bir gedik daha açmaya kararlı.
LUKS nedir?
LUKS, Linux Unified Key Setup anlamına geliyor ve disk şifrelemeyi desteklemek için Linux destekli sistemlerde kullanılan bir mekanizma.
LUKS nasıl çalışır?
LUKS oldukça karmaşıktır ve birçok güvenlik sistemi LUKS ile etkileşime girer. Tamamen şifrelenmiş bir diske sahip olmak verilerin kullanılmadığında bile meraklı gözlerden korunmasını sağlar. Örneğin bir dizüstü bilgisayarı çalan bir saldırganın, içinde bulunan gizli verileri erişemiyeceği anlamına gelir. Genel olarak LUKS mükemmel koruma sağlar ve bu nedenle, çeşitli kuruluşlarda sistemlerin güvenliğini sağlamak için sıklıkla kullanılır.
LUKS Zafiyeti
CVE-2021-4122 olarak takip edilen zafiyet, LUKS ile şifrelenmiş bir diskin şifresini çözmek ve şifrelemeyi yapılandırmak için kullanılan şifreye sahip olmadan üzerindeki verilere erişmek mümkün kılıyor. LUKS, anahtar özelliği, belirli bir aygıtı şifrelemek için kullanılan anahtarı anında değiştirme yeteneği sağlıyor. Bu, örneğin yüksek güvenlikli ortamlarda programlanmış anahtar rotasyonları için kullanılıyor. Bu anında yeniden şifreleme özelliği, cihazın anahtar değiştirme işlemi sırasında kullanılabilir durumda kalması anlamına geliyor. Buna “çevrimiçi yeniden şifreleme” deniyor. Bu, çevrimiçi ve aktif kullanımdayken bir diski farklı bir anahtarla yeniden şifreleme yeteneğini olarak tanımlanıyor. Bu süreçte bir güvenlik açığı tespit edildi. Bu işlemin, orijinal ve güncel şifreye sahip olmadan yapılabileceği ortaya çıktı. Parola olmadan bile yeniden şifreleme talebinde bulunabilirsiniz. Kusurdan yararlanıldığında, bu işlem iptal edilmiş gibi görünecek ve verilerin bir kısmı şifrelenmemiş olarak ortada çıkacak. Cihaz hiçbir noktada anormal bir davranışla karşılaşmaz, bu nedenle yalnızca blok cihaz durumuna bakarak işlemi yapan bir saldırganı tespit etmek daha da zor olacaktır. Sorunun çözümü aslında basit, LUKS’u destekleyen paket olan cryptsetup’ı tüm sistemlerde güncellemek.
O zaman işimiz kolay hemen sistemimizi güncelleyelim? Durun biz Centos 8 kullanıyoruz güncelleyemeyiz!
Çoğu Linux dağıtımı erken uyarıda bulundu ve şimdiden dağıtımları için güncellenmiş paketler sağlıyor. Ve CentOS’u destekleyen Red Hat ile aynı. Ancak, CentOS 8 artık resmi olarak desteklenmediğinden, LUKS kusuru için bir CentOS 8 yaması görünmemekte.
CentOS 8 kullanıyorsanız aşağıdaki yama seçenekleri ile yetinmeniz gerekiyor
Seçeneklerden biri, proje kaynağını indirmek ve yerel olarak derlemek, bir yedek sistemde paketi oluşturmaktır. Diğer seçenek, artık orijinal satıcı tarafından yayımlanmayan yamaları sağlayacak bir genişletilmiş destek sağlayıcısıyla anlaşmak. Her dağıtım veya dağıtım ailesinin kendine özgü gereklilikleri var. CentOS’u içeren RHEL ailesi de bu özel durumlara sahip olacak. Bunlar hizmet başlatma yapılandırmaları, ayarlar ve daha fazlası. Ekibiniz bunları manuel olarak ayarlamak zorunda kalacak. BT ekibinizin gerekli uzmanlığa sahip olup olmadığı da farklı bir sorun. Ayrıca, LUKS proje sayfasının “Lütfen her zaman cryptsetup’ı manuel olarak yapılandırmak için dağıtıma özel derleme araçlarını tercih edin” diyor..
Başka bir çözüm var mı?
Son bir çözüm bu paketleri sizin için hazırlayacak uzman bir firmadan destek almak ve Centos 8 sisteminize özel paketler hazırlatmak.
Bu çözümler ne kadar sürdürübelir bilinmez ancak, gerçek o ki hızlıca bir göç planı hazırlamak ve Centos sistemlerinizi yeni Linux dağıtımlarına taşımak.
Kaynak: thehackernews.com