Fa poc es va donar a conèixer la notícia que un investigador de seguretat identifico una vulnerabilitat crítica (ja catalogada sota CVE-2021-43267) en la implementació del protocol de xarxa TIPC subministrat al nucli de Linux, que permet l'execució remota de codi amb privilegis del nucli mitjançant l'enviament d'un paquet de xarxa especialment dissenyat.
El perill del problema es mitiga pel fet que l'atac requereix habilitar explícitament el suport de TIPC al sistema (carregant i configurant el mòdul del nucli tipc.ko), cosa que no es realitza per defecte en les distribucions de Linux no especialitzades.
CodeQL és un motor d'anàlisi que us permet executar consultes al codi. Des d'una perspectiva de seguretat, això pot permetre trobar vulnerabilitats simplement descrivint-ne l'aparença. CodeQL després s'activarà i trobareu totes les instàncies d'aquesta vulnerabilitat.
TIPC ha estat compatible des del nucli de Linux 3.19, però el codi que condueix a la vulnerabilitat es va incloure al nucli 5.10. El protocol TIPC va ser desenvolupat originalment per Ericsson, està destinat a organitzar la comunicació entre processos en un clúster i s'activa principalment als nodes del clúster.
TIPC pot funcionar tant a través d'Ethernet com a través d'UDP (port de xarxa 6118). En el cas de treballar a través d'Ethernet, l'atac es pot fer des de la xarxa local, i quan es fa servir UDP, des de la xarxa global, si el port no està cobert per un tallafoc. L'atac també pot ser dut a terme per un usuari local sense privilegis al host. Per activar TIPC, heu de carregar el mòdul del nucli tipc.ko i configurar l'enllaç a la interfície de xarxa mitjançant netlink o la utilitat tipc.
El protocol s'implementa en un mòdul del nucli empaquetat amb totes les distribucions principals de Linux. Quan el carrega un usuari, es pot fer servir com un connector i es pot configurar en una interfície usant netlink (o usant l'eina d'espai d'usuari tipc, que realitzarà aquestes trucades de netlink) com un usuari sense privilegis.
TIPC es pot configurar per operar sobre un protocol portador com Ethernet o UDP (en el darrer cas, el nucli escolta al port 6118 els missatges entrants de qualsevol màquina). Atès que un usuari amb pocs privilegis no pot crear trames ethernet sense processar, configurar el portador UDP facilita l'escriptura d'un exploit local.
La vulnerabilitat es manifesta en la funció tipc_crypto_key_rc i és causada per la manca de verificació adequada de la correspondència entre allò especificat a la capçalera i la mida real de les dades en analitzar paquets amb el tipus MSG_CRYPTO utilitzats per obtenir claus de xifratge d'altres nodes al clúster en per posteriorment desxifrar els missatges enviats des d'aquests nodes.
La mida de les dades copiades a la memòria es calcula com la diferència entre els valors dels camps amb la mida del missatge i la mida de la capçalera, però sense tenir en compte la mida real del nom de l'algorisme de xifratge transmès al missatge i el contingut de la clau.
Se suposa que la mida del nom de l'algoritme és fix, ia més es passa un atribut separat amb la mida per a la clau, i l'atacant pot especificar un valor en aquest atribut que difereixi del valor real, cosa que portarà a escriure a la cua del missatge fora del memòria intermèdia assignat.
La vulnerabilitat està corregida als nuclis 5.15.0, 5.10.77 i 5.14.16, encara que el problema apareix i encara no s'ha solucionat a Debian 11, Ubuntu 21.04/21.10, SUSE (a la branca SLE15-SP4 encara no publicada), RHEL (encara no es detalla si la solució vulnerable s'ha actualitzat) i Fedora.
Encara que ja s'ha llançat una actualització del nucli per a Arch Linux i les distribucions amb kernels anteriors a 5.10, com ara Debian 10 i Ubuntu 20.04, no es veuen afectades.
Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.