наскоро важна информация за идентификацията на уязвимост (изброени като CVE-2021-27365) в кода на подсистемата iSCSI Linux ядрото позволява на непривилегирован локален потребител да изпълнява код на ниво ядро и да получава root права на системата.
Проблемът е причинен от грешка във функцията на модула libiscsi iscsi_host_get_param (), въведена през 2006 г. по време на разработването на подсистемата iSCSI. Поради липсата на правилни контроли за оразмеряване, някои атрибути на iSCSI низове, като име на хост или потребителско име, могат да надвишават стойността PAGE_SIZE (4KB).
Уязвимостта може да бъде използвана чрез изпращане на съобщения от Netlink от непривилегирован потребител, който задава iSCSI атрибути на стойности, по-големи от PAGE_SIZE. Когато четете данни за атрибути чрез sysfs или seqfs, кодът се извиква, за да предаде атрибутите на sprintf, така че те да бъдат копирани в буфер с размер PAGE_SIZE.
Конкретната подсистема, за която става въпрос, е SCSI (Small Computer System Interface) пренос на данни, който е стандарт за прехвърляне на данни, направени за свързване на компютри към периферни устройства, първоначално чрез физически кабел, като твърди дискове. SCSI е почтен стандарт, първоначално публикуван през 1986 г. и беше златният стандарт за сървърни конфигурации, а iSCSI е основно SCSI над TCP. SCSI се използва и до днес, особено в определени ситуации на съхранение, но как това се превръща в повърхност за атака на Linux система по подразбиране?
Използване на уязвимост в разпределенията зависи от поддръжката за автоматично зареждане на модула на ядрото scsi_transport_iscsi при опит за създаване на NETLINK_ISCSI сокет.
В дистрибуции, при които този модул се зарежда автоматично, атаката може да бъде извършена независимо от използването на iSCSI функционалност. В същото време за успешното използване на експлоата допълнително се изисква регистрация на поне един iSCSI транспорт. На свой ред, за да регистрирате транспорт, можете да използвате модула на ядрото ib_iser, който се зарежда автоматично, когато непривилегирован потребител се опита да създаде сокет NETLINK_RDMA.
Автоматично зареждане на модули, необходими за използване на експлоата поддържа CentOS 8, RHEL 8 и Fedora чрез инсталиране на rdma-core пакета в системата, което е зависимост за някои популярни пакети и се инсталира по подразбиране в конфигурации за работни станции, сървърни системи с GUI и виртуализация на хост среди.
В същото време rdma-core не се инсталира при използване на компилация на сървър, която работи само в конзолен режим и при инсталиране на минимално изображение за инсталиране. Например пакетът е включен в основната дистрибуция на Fedora 31 Workstation, но не е включен във Fedora 31 Server.
Debian и Ubuntu са по-малко податливи на проблематъй като пакетът rdma-core зарежда модулите на ядрото, необходими за атака, само ако е наличен хардуер RDMA. Въпреки това, сървърният пакет Ubuntu включва пакета open-iscsi, който включва файла /lib/modules-load.d/open-iscsi.conf, за да гарантира, че iSCSI модулите се зареждат автоматично при всяко зареждане.
Наличен е работещ прототип на експлоата за опитайте на връзката по-долу.
Уязвимостта е отстранена в актуализации на ядрото на Linux 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 и 4.4.260. Актуализациите на пакетите на ядрото са налични в дистрибуциите на Debian (oldstable), Ubuntu, SUSE / openSUSE, Arch Linux и Fedora, докато за RHEL все още не са публикувани корекции.
Също така, в подсистемата iSCSI са отстранени две по-малко опасни уязвимости което може да доведе до изтичане на данни на ядрото: CVE-2021-27363 (изтекла информация за iSCSI дескриптор на транспорт чрез sysfs) и CVE-2021-27364 (четене от регион извън границите на буфера).
Тези уязвимости могат да бъдат използвани за комуникация през сокет за мрежова връзка с подсистемата iSCSI без необходимите привилегии. Например, непривилегирован потребител може да се свърже с iSCSI и да изпрати команда за излизане.
Fuente: https://blog.grimm-co.com