🔵 عنوان مقاله
Linux Capabilities Revisited (4 minute read)
🟢 خلاصه مقاله:
امنیت در Linux با تقسیم قدرتهای root به «capabilities» ظریفتر میشود، اما مهاجمان میتوانند از همین سازوکار سوءاستفاده کنند: با setcap دادن قابلیتی مثل cap_setuid به یک باینری معمولی (مثلاً Python)، بدون نیاز به SUID به روت تبدیل میشوند و در نتیجه بکدوری پنهان میسازند. چون این مجوزها بهصورت xattr روی inode و در security.capability ذخیره میشوند، در خروجیهای معمولِ بررسی مجوزها بهراحتی دیده نمیشوند و حتی بعد از rename یا ریبوت باقی میمانند. راهکار دفاعی این است که جستوجوی ارتقای دسترسی را از SUID/SGID فراتر ببریم: با getcap -r / همه قابلیتها را فهرست کنیم، setcap و هر تغییر روی security.capability را مانیتور کنیم، فهرست سفید بسازیم، قابلیتهای غیرضروری را با setcap -r حذف کنیم و این کنترلها را در CI/CD و سختسازی ایمیجها بگنجانیم تا باینریهای دارای capability ناخواسته وارد محیط نشوند.
#Linux #Capabilities #PrivilegeEscalation #setcap #SUID #BlueTeam #SecurityMonitoring #IncidentResponse
🟣لینک مقاله:
https://dfir.ch/posts/linux_capabilities/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Linux Capabilities Revisited (4 minute read)
🟢 خلاصه مقاله:
امنیت در Linux با تقسیم قدرتهای root به «capabilities» ظریفتر میشود، اما مهاجمان میتوانند از همین سازوکار سوءاستفاده کنند: با setcap دادن قابلیتی مثل cap_setuid به یک باینری معمولی (مثلاً Python)، بدون نیاز به SUID به روت تبدیل میشوند و در نتیجه بکدوری پنهان میسازند. چون این مجوزها بهصورت xattr روی inode و در security.capability ذخیره میشوند، در خروجیهای معمولِ بررسی مجوزها بهراحتی دیده نمیشوند و حتی بعد از rename یا ریبوت باقی میمانند. راهکار دفاعی این است که جستوجوی ارتقای دسترسی را از SUID/SGID فراتر ببریم: با getcap -r / همه قابلیتها را فهرست کنیم، setcap و هر تغییر روی security.capability را مانیتور کنیم، فهرست سفید بسازیم، قابلیتهای غیرضروری را با setcap -r حذف کنیم و این کنترلها را در CI/CD و سختسازی ایمیجها بگنجانیم تا باینریهای دارای capability ناخواسته وارد محیط نشوند.
#Linux #Capabilities #PrivilegeEscalation #setcap #SUID #BlueTeam #SecurityMonitoring #IncidentResponse
🟣لینک مقاله:
https://dfir.ch/posts/linux_capabilities/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
dfir.ch
Linux Capabilities Revisited | dfir.ch
Technical blog by Stephan Berger (@malmoeb)