Fa poc es va donar a conèixer la notícia que van ser identificades dues vulnerabilitats en el nucli de Linux que permeten utilitzar el subsistema eBPF per eludir la protecció contra l'atac Spectre 4 (SSB, Speculative Store Bypass). S'esmenta que usant un programa BPF sense privilegis, un atacant pot crear condicions per a l'execució especulativa de certes operacions i determinar el contingut d'àrees arbitràries de la memòria de l'nucli.
El mètode d'atac Spectre 4 es basa en restaurar les dades atrapats en la memòria cau de l'processador després de descartar el resultat de l'execució especulativa d'operacions a l'processar operacions de lectura i escriptura intercalades utilitzant adreçament indirecte.
Quan una operació de lectura segueix a una operació d'escriptura, és possible que el desplaçament de la direcció de lectura ja es conegui a causa d'operacions similars (Les operacions de lectura es realitzen molt més sovint i la lectura es pot fer des de la memòria cau) i el processador pot llegir especulativament abans d'escriure, sense esperar que es calculi el desplaçament de la direcció indirecta d'escriptura.
Si, després de calcular el desplaçament, es detecta una intersecció d'àrees de memòria per a escriptura i lectura, el processador simplement descarta el resultat de lectura ja obtingut especulativament i repetirà aquesta operació. Aquesta funció permet que la instrucció de lectura accedeixi a el valor anterior en alguna direcció mentre l'operació de guardat encara està pendent.
Després de descartar una operació especulativa fallida, Els rastres de la seva execució romanen en la memòria cau, després de la qual cosa un dels mètodes per determinar el contingut de la memòria cau es pot usar per a recuperar-lo en funció de l'anàlisi dels canvis en el temps d'accés a memòria cau i dades emmagatzemades a la memòria cau.
Recordeu que es pot abusar de cada tema independentment de l'altre, confiant en errors que no se superposen.
Els PoC s'han compartit de forma privada amb els mantenidors de l'subsistema BPF per ajudar amb el desenvolupament d'arranjaments.
La primera vulnerabilitat CVE-2021-35477: és causada per una falla en el mecanisme de validació de el programa BPF. Per protegir-se contra l'atac de Spectre 4, el verificador afegeix una instrucció addicional després d'operacions de guardat potencialment problemàtiques en la memòria, emmagatzemant un valor zero per desplaçar els rastres de l'operació anterior.
Es va assumir que l'operació d'escriptura zero seria molt ràpida i bloquejaria l'execució especulativa, ja que depèn només de l'punter de el marc de pila BPF. Però, de fet, va resultar possible crear condicions en què la instrucció que condueix a l'execució especulativa tingui temps d'executar-abans de l'operació de guardat preventiu.
La segona vulnerabilitat CVE-2021-3455: està relacionada amb el fet que quan el verificador de BPF detecta operacions de guardat potencialment perilloses en la memòria, No es tenen en compte les àrees no inicialitzades de la pila de BPF, la primera operació d'escriptura en la qual no està protegit.
Aquesta característica condueix a la possibilitat de realitzar una operació de lectura especulativa, depenent de l'àrea de memòria no inicialitzada, abans d'executar la instrucció d'emmagatzematge. La nova memòria per a la pila BPF s'assigna sense verificar el contingut que ja està en la memòria assignada, i en l'etapa abans que comenci el programa BPF, hi ha una manera d'administrar el contingut de l'àrea de memòria, que després s'assignarà a la pila BPF.
La solució disponible torna a implementar les tècniques de mitigació per seguir recomanat pels proveïdors de CPU i està disponible en el nucli de la línia principal repositori de git.
Finalment s'esmenta que els mantenidors dels subsistemes eBPF en el nucli van obtenir accés a un prototip de exploit que demostra la possibilitat de realitzar atacs a la pràctica.
Els problemes se solucionen en forma de pegats, que s'inclouran en la propera actualització de el nucli de Linux, de manera que les actualitzacions per a les diferents distribucions estaran començant a arribar durant els propers dies.
font: https://www.openwall.com/