fa poc es va donar a conèixer informació important sobre la identificació de una vulnerabilitat (Catalogada com CVE-2021-27365) en el codi de l'subsistema iSCSI de el nucli de Linux que permet a un usuari local sense privilegis executar codi a nivell de el nucli i obtenir privilegis de root al sistema.
El problema és causat per una fallada en la funcióndel mòdul iscsi_host_get_param () de la libiscsi, introduït cap enrere en 2006 durant el desenvolupament de l'subsistema iSCSI. A causa de la manca de controls de mida adequats, alguns atributs de cadena iSCSI, com el nom d'amfitrió o el nom d'usuari, poden excedir el valor PAGE_SIZE (4 KB).
La vulnerabilitat podria explotar-se mitjançant l'enviament de missatges Netlink per un usuari sense privilegis que estableixi els atributs iSCSI en valors superiors a PAGE_SIZE. A l'llegir dades d'atributs a través d'sysfs o seqfs, es diu a el codi per passar els atributs a sprintf perquè es copiïn en un memòria intermèdia que pesa PAGE_SIZE.
El subsistema particular en qüestió és el transport de dades SCSI (Small Computer System Interface), que és un estàndard per a transferir dades fetes per connectar ordinadors amb dispositius perifèrics, originalment a través d'un cable físic, com discs durs. SCSI és un estàndard venerable publicat originalment el 1986 i era el mètode de referència per a les configuracions de servidor, i iSCSI és bàsicament SCSI sobre TCP. SCSI encara s'usa avui dia, especialment si es tracta de certes situacions d'emmagatzematge, però com es converteix això en una superfície d'atac en un sistema Linux predeterminat?
L'explotació de la vulnerabilitat en les distribucions depèn de el suport per a la càrrega automàtica de la lliçó de l'nucli scsi_transport_iscsi quan s'intenta crear un sòcol NETLINK_ISCSI.
En distribucions en què aquest mòdul es carrega automàticament, l'atac es pot dur a terme independentment de l'ús de la funcionalitat iSCSI. A el mateix temps, per a l'ús reeixit de l'exploit, es requereix addicionalment el registre de al menys un transport iSCSI. Al seu torn, per registrar un transport, pot utilitzar el mòdul de nucli ib_iser, que es carrega automàticament quan un usuari sense privilegis intenta crear un sòcol NETLINK_RDMA.
La càrrega automàtica dels mòduls necessaris per utilitzar l'exploit és compatible amb CentOS 8, RHEL 8 i Fedora a l'instal·lar el paquet RDMA-core en el sistema, Que és una dependència per a alguns paquets populars i s'instal·la per defecte en configuracions per a estacions de treball, servidor sistemes amb GUI i virtualització d'entorns host.
A el mateix temps, RDMA-core no s'instal·la quan s'usa un recull de servidor que només funciona en mode consola i quan s'instal·la una imatge d'instal·lació mínima. Per exemple, el paquet està inclòs en la distribució base de Fedora 31 Workstation, però no inclòs en Fedora 31 Server.
Debian i Ubuntu són menys susceptibles a el problema, Ja que el paquet RDMA-core només carrega els mòduls de l'nucli necessaris per a un atac si el maquinari RDMA està disponible. No obstant això, el paquet d'Ubuntu de la banda de servidor inclou el paquet open-iscsi, que inclou l'arxiu /lib/modules-load.d/open-iscsi.conf per garantir que els mòduls iSCSI es carreguin automàticament en cada inici.
Un prototip funcional de l'exploit està disponible per provar en el següent enllaç.
La vulnerabilitat es va corregir en les actualitzacions de el nucli de Linux 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 i 4.4.260. Les actualitzacions de l'paquet de el nucli estan disponibles en les distribucions Debian (oldstable), Ubuntu, SUSE / openSUSE, Arch Linux i Fedora, mentre que per RHEL encara no s'han publicat correccions.
A més, en el subsistema iSCSI s'han solucionat dues vulnerabilitats menys perilloses que poden provocar la fugida de dades de l'nucli: CVE-2021-27363 (informació filtrada sobre el descriptor de transport iSCSI a través d'sysfs) i CVE-2021-27364 (lectura d'un regió fora dels límits de la zona d'influència) .
Aquestes vulnerabilitats es poden aprofitar per comunicar-se a través d'un sòcol d'enllaç de xarxa amb el subsistema iSCSI sense els privilegis necessaris. Per exemple, un usuari sense privilegis pot connectar-se a iSCSI i enviar una comanda de cap de sessió.
font: https://blog.grimm-co.com