InputPlumber’dagi kritik zaifliklar: Linux va SteamOS tizimlari jiddiy xavf ostida

Linux operatsion tizimida kirish qurilmalarini boshqarish uchun keng qo‘llaniladigan InputPlumber utilitasida o‘ta xavfli xavfsizlik zaifliklari aniqlandi. Ushbu kamchiliklar orqali hujumchilar foydalanuvchi interfeysiga soxta kiritmalar yuborishi, maxfiy ma’lumotlarni sizdirishi hamda tizimni xizmatdan chiqarish (Denial-of-Service) holatiga olib kelishi mumkin.

Mazkur zaifliklar ayniqsa SteamOS asosida ishlovchi o‘yin tizimlari uchun jiddiy tahdid tug‘diradi, chunki InputPlumber ushbu platformada standart komponent sifatida ishlatiladi va root (to‘liq administrator) huquqlari bilan faoliyat yuritadi.

Aniqlangan zaifliklar tafsiloti

SUSE kompaniyasining kiberxavfsizlik tadqiqotchilari tomonidan aniqlangan ushbu kamchiliklar quyidagi CVE identifikatorlari ostida ro‘yxatga olingan:

  • CVE-2025-66005 — InputPlumber’ning D-Bus interfeysida avtorizatsiya mexanizmining umuman yo‘qligi bilan bog‘liq.
  • CVE-2025-14338 — Polkit asosidagi autentifikatsiya o‘chirib qo‘yilgani va avtorizatsiya jarayonida yuzaga keladigan poyga holati (race condition) bilan bog‘liq zaiflik.

Mazkur zaifliklar InputPlumber v0.69.0 dan oldingi barcha versiyalarni qamrab oladi. Eng xavfli jihati shundaki, tizimdagi har qanday foydalanuvchi, hatto eng past huquqlarga ega bo‘lgan akkaunt ham, InputPlumber’ning D-Bus xizmatiga hech qanday tasdiqlovsiz murojaat qila olgan.

Hujum ssenariylari va ehtimoliy oqibatlar

Aniqlangan zaifliklar hujumchilarga bir nechta yo‘nalishda zarar yetkazish imkonini beradi:

🎮 UI kiritmalarni soxtalashtirish (Input Injection)

Hujumchi virtual klaviatura qurilmasi yaratib, faol foydalanuvchi sessiyasiga tugmalar bosilishini majburan yuborishi mumkin. Bu holat foydalanuvchi nomidan buyruqlar bajarilishiga, hatto zararli kod ishga tushishiga olib kelishi ehtimoli bor.

💥 Xizmatdan chiqarish (Denial-of-Service)

CreateCompositeDevice metodi orqali yuborilgan maxsus fayl yo‘llari (masalan, /dev/zero) tizim xotirasining to‘lib ketishiga sabab bo‘lib, butun tizimni ishlamay qolish holatiga olib kelishi mumkin.

🔍 Axborot sizdirilishi

Xuddi shu mexanizm orqali hujumchi tizimda mavjud yoki mavjud bo‘lmagan fayllarni tekshirish imkoniga ega bo‘ladi. Natijada oddiy foydalanuvchi kira olmaydigan /root/.bash_history kabi maxfiy fayllar mavjudligi haqida ma’lumot sizib chiqishi mumkin.

Qaysi tizimlar xavf ostida?

Mazkur zaifliklar asosan:

  • SteamOS ishlayotgan o‘yin qurilmalari
  • InputPlumber’dan foydalanayotgan Linux distributivlari

uchun dolzarb hisoblanadi.

Valve kompaniyasi ushbu muammoga tezkor javob qaytarib, SteamOS 3.7.20 versiyasini e’lon qildi. Ushbu yangilanish tarkibida InputPlumber v0.69.0 joy olgan bo‘lib, aniqlangan zaifliklar bartaraf etilgan.

Tuzatishlar va tavsiyalar

InputPlumber ishlab chiquvchilari hamda SUSE tadqiqotchilari hamkorligida quyidagi choralar ko‘rildi:

  • Polkit asosidagi to‘liq va majburiy avtorizatsiya joriy etildi
  • D-Bus xizmatlarida ruxsatsiz murojaatlar cheklab qo‘yildi
  • systemd orqali qo‘shimcha xavfsizlik mustahkamlash mexanizmlari qo‘llandi

Shu bilan birga, ba’zi D-Bus API’larni fayl yo‘llari o‘rniga fayl deskriptorlari asosida ishlashga o‘tkazish bo‘yicha takliflar hali to‘liq joriy etilmagan.

🔐 Tavsiya: Tizim administratorlari va foydalanuvchilar zudlik bilan InputPlumber v0.69.0 yoki undan yuqori versiyaga yangilanishlari shart. Ayniqsa, SteamOS va o‘yin tizimlarida bu yangilanish kechiktirilmasligi lozim.

InputPlumber’dagi ushbu zaifliklar yana bir bor shuni ko‘rsatadiki, root huquqlari bilan ishlovchi xizmatlarda autentifikatsiya va avtorizatsiya mexanizmlarining sustligi juda katta xavflarga olib keladi. O‘z vaqtida yangilanishlarni o‘rnatish va xavfsizlik tavsiyalariga amal qilish tizim barqarorligi va foydalanuvchi ma’lumotlari himoyasi uchun hal qiluvchi ahamiyatga ega.

Agar xohlasangiz, ushbu maqolani qisqa yangilik, Telegram posti, SOC xabarnomasi yoki rasmiy axborotnoma formatida ham moslab berishim mumkin.