PAM-u2f’ga tegishli xavfsizlik zaifligi: ikki faktorli autentifikatsiyani chetlab o‘tish mumkin

PAM-u2f — bu ikki faktorli autentifikatsiyani qo‘llab-quvvatlash uchun ishlab chiqilgan modul bo‘lib, U2F (Universal 2nd Factor) texnologiyasidan foydalanadi. U FIDO standarti asosida ishlaydi va YubiKey, Feitian, yoki boshqa U2F mos keluvchi qurilmalar bilan tizimga xavfsiz kirishni ta’minlaydi.

Agar siz openSUSE yoki boshqa PAM (Pluggable Authentication Module) tizimlaridan foydalanayotgan bo‘lsangiz va ikki faktorli autentifikatsiya uchun pam-u2f modulidan foydalansangiz, e’tibor bering! Yaqinda mazkur modulda xavfli zaiflik aniqlandi. Bu zaiflik orqali, hatto fizik token – masalan, YubiKeydan foydalanmasdan ham, autentifikatsiya tizimini chetlab o‘tish mumkin bo‘ladi. Ushbu zaiflik CVE-2025-23013 identifikatori bilan ro‘yxatga olingan.

Bu zaiflikning sababi pam_sm_authenticate() funksiyasida noto‘g‘ri ishlov berilishidir. Oddiy qilib aytganda, agar tizim ikki faktorli autentifikatsiya jarayonida xotira muammosi yoki boshqa texnik xatoliklar yuzaga kelsa, modul PAM_IGNORE deb nomlangan maxsus kodni qaytaradi.

Muammo shundaki, tizim bu kodni noto‘g‘ri talqin qilib, uni go‘yoki muvaffaqiyatli autentifikatsiya sifatida qabul qiladi. Natijada, ikki faktorli autentifikatsiyani talab qiladigan amallarni, masalan, sudo yoki su buyrug‘ini, token ishlatmasdan bajarish mumkin bo‘lib qoladi.

Bu degani, agar kimdir tizimga lokal kirish imkoniga ega bo‘lsa, ular xavfsizlik devorini chetlab o‘tib, yuqori darajadagi huquqlarni qo‘lga kiritishi mumkin. Tabiiyki, bu tizim xavfsizligi uchun katta xavf tug‘diradi. Shuning uchun darhol yangilanishni o‘rnatib, ushbu muammoni bartaraf qilish tavsiya etiladi!

Xavfsizlikni ta’minlash uchun darhol pam-u2f modulini yangilashingiz lozim. Ushbu muammo pam-u2fning 1.3.1 versiyasida tuzatilgan. Modulni yangilash uchun quyidagilarni bajaring:

1. Tizimni yangilang:

sudo zypper update pam-u2f

yoki boshqa distributsiyalarda:

sudo apt update && sudo apt upgrade pam-u2f

2. Konfiguratsiyalarni qayta tekshiring: Yangilanishdan so‘ng, pam-u2f konfiguratsiyasini ko‘rib chiqing va xavfsizlik siyosatlari talablariga mosligini tasdiqlang.

Ikki faktorli autentifikatsiya zamonaviy xavfsizlikning ajralmas qismi bo‘lib, foydalanuvchilarning hisoblarini himoyalashda muhim rol o‘ynaydi. Ammo bu texnologiya xavfsiz bo‘lishi uchun konfiguratsiyalar to‘g‘ri sozlanganligiga va tizim har doim yangilanib borayotganiga ishonch hosil qilish kerak. Shuningdek, zaxira mexanizmlarni o‘rnatish va qo‘llab-quvvatlovchi tizimni sinovdan o‘tkazib turish ham zarar qilmaydi.

Unutmang: xavfsizlik – bu nafaqat yaxshi texnologiya, balki uni to‘g‘ri ishlatish masalasi hamdir!