Recentment es va donar a conèixer la notícia que van identificar una nova vulnerabilitat (ja catalogada sota el CVE-2021-4204) al subsistema eBPF (per variar) ...
I és que el subsistema eBPF no ha deixat de ser una gran problemàtica de seguretat per al Kernel doncs fàcilment en el que va ser tot el 2021 es van donar a conèixer dues vulnerabilitats per mes i de les quals en parlem d'algunes aquí al bloc.
Pel que fa als detalls de l'actual problema s'esmenta que la vulnerabilitat detectada permet que un controlador s'executi dins del nucli de Linux en una màquina virtual JIT especial i que aquest permet que un usuari local sense privilegis obtingui una escalada de privilegis i executar el seu codi a nivell del nucli.
A la descripció del problema, esmenten que la vulnerabilitat es deu a un escaneig incorrecte dels programes eBPF transmesos per a la seva execució, ja que el subsistema eBPF proporciona funcions auxiliars, la correcció de les quals és verificada per un verificador especial.
Aquesta vulnerabilitat permet als atacants locals augmentar els privilegis a
instal·lacions afectades de Linux Kernel. Un atacant primer ha d'obtenir la
capacitat d'executar codi amb pocs privilegis al sistema de destinació per
explotar aquesta vulnerabilitat.La falla específica existeix en el maneig dels programes eBPF. La qüestió resulta de la manca de validació adequada dels programes eBPF proporcionats per l'usuari abans dexecutar-los.
A més d'això, algunes de les funcions requereixen que el valor PTR_TO_MEM es passi com a argument i el verificador ha de conèixer la mida de la memòria associada amb l'argument per evitar possibles problemes de desbordaments de memòria intermèdia.
Mentre que per a les funcions bpf_ringbuf_submit i bpf_ringbuf_discard, les dades sobre la mida de la memòria transferida no s'informen al verificador (és aquí on el problema comença), cosa que aprofita l'atacant per poder utilitzar per sobreescriure àrees de memòria fora del límit del memòria intermèdia en executar un codi eBPF especialment dissenyat.
Un atacant pot aprofitar aquesta vulnerabilitat per escalar privilegis i executar codi en el context del nucli. TINGUEU EN COMPTE que bpf sense privilegis està deshabilitat per defecte a la majoria de les distribucions.
S'esmenta que perquè un usuari pugui dur a terme un atac, l'usuari ha de poder carregar el programa BPF i moltes distribucions recents de Linux el bloquegen per defecte (inclòs l'accés sense privilegis a eBPF ara està prohibit per defecte al mateix nucli, a partir de la versió 5.16).
Per exemple, s'esmenta que la vulnerabilitat pot ser explotada a la configuració per defecte en una distribució que encara és força utilitzada i sobretot molt popular com ho és Ubuntu 20.04 LTS, però als entorns com Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 i Fedora 33, només es manifesta si l'administrador ha establert el paràmetre kernel.unprivileged_bpf_disabled a 0.
Actualment, com a solució alternativa per bloquejar la vulnerabilitat, s'esmenta que es pot evitar que els usuaris sense privilegis executin programes BPF executant en una terminal l'ordre:
sysctl -w kernel.unprivileged_bpf_disabled=1
Finalment, cal esmentar que el problema ha aparegut des del kernel de Linux 5.8 i roman sense pegats (inclosa la versió 5.16) i és per això que el codi d'explotació s'endarrerirà durant 7 dies i es publicarà a les 12:00 UTC, és a dir el 18 de gener del 2022.
amb això es pretén donar el temps suficient perquè els pegats correctius siguin posats a disposició dels usuaris de les diferents distribucions de linux dins dels canals oficials de cadascuna d'aquestes i tant els desenvolupadors com els usuaris puguin corregir aquesta vulnerabilitat.
Per als que estiguin interessats a poder conèixer sobre l'estat de la formació d'actualitzacions amb l'eliminació del problema en alguna de les distribucions principals, han de saber que es poden rastrejar des d'aquestes pàgines: Debian, RHEL, SUSE, Fedora, Ubuntu, Arc.
si estàs interessat a poder conèixer més sobre això sobre la nota, pots consultar el comunicat original en el següent enllaç.