Investigadors de Cisco Talos van donar a conèixer fa pocs dies una vulnerabilitat en el nucli de Linux que pot explotar-se per robar dades i també servir com a mitjà per poder escalar privilegis i comprometre el sistema.
la vulnerabilitat es descriu com una «vulnerabilitat de divulgació d'informació que podria permetre a un atacant veure la memòria de la pila de el nucli ".
CVE-2020-28588 és la vulnerabilitat que es va descobrir en la funcionalitat proc / pid / syscall de dispositius ARM de 32 bits que executen el sistema operatiu. Segons Cisco Talos, el problema es va descobrir per primera vegada en un dispositiu que executa Azure Sphere.
Hi ha una vulnerabilitat de divulgació d'informació en la funcionalitat / proc / pid / syscall de Linux Kernel 5.1 Stable i 5.4.66. Més específicament, aquest problema s'ha introduït en v5.1-RC4 (comet 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) i encara està present en v5.10-RC4, de manera que és probable que totes les versions intermèdies es vegin afectades. Un atacant pot llegir / proc / pid / syscall per activar aquesta vulnerabilitat, el que provoca que el nucli perdi contingut de memòria.
Proc és un pseudo-sistema de fitxers especial en sistemes operatius similars a Unix que s'utilitza per accedir dinàmicament a les dades de l'procés que es troben en el nucli. Presenta informació sobre processos i altra informació d'sistema en una estructura jeràrquica similar a un arxiu.
Per exemple, conté subdirectoris / proc / [pid], cadascun dels quals conté arxius i subdirectoris que exposen informació sobre processos específics, llegibles mitjançant l'ús de l'ID de procés corresponent. En el cas de l'arxiu «syscall», és un arxiu legítim de el sistema operatiu Linux que conté registres de les trucades a sistema utilitzades pel nucli.
Per a l'empresa, lus hackers podrien aprofitar la falla i accedir a el sistema operatiu i a l'arxiu syscall a través d'un sistema utilitzat per interactuar entre les estructures de dades de l'nucli, Proc. L'entrada syscall procfs podria explotar-se si els hackers emeten ordres per a generar 24 bytes en la memòria de pila no inicialitzada, el que conduiria a una omissió de l'aleatorització de el disseny de l'espai d'adreces de l'nucli (KASLR).
A l'observar aquesta funció específica, tot es veu bé, però val la pena assenyalar que el
argsparàmetre passat va venir des de laproc_pid_syscallfunció i, com a tal, en realitat és de tipus__u64 args. En un sistema ARM, la definició de funció converteix la mida de laargmatriu en elements de quatre bytes des de vuit bytes (ja queunsigned longen ARM són 4 bytes), el que dóna com a resultat que enmemcpyes copiï en 20 bytes (més de 4 perargs[0]).De manera similar, per a i386, on
unsigned longsón 4 bytes, nomésargss'escriuen els primers 24 bytes de l'argument, deixant intactes els 24 bytes restants.En tots dos casos, si mirem cap enrere en la
proc_pid_syscallfunció.Mentre que a ARM de 32 bits i 386 només copiem 24 bytes en la
argsmatriu, la cadena de format acaba llegint 48 bytes de laargsmatriu, ja que la%llxcadena de format té vuit bytes en els sistemes de 32 i 64 bits. Per tant, 24 bytes de memòria de pila no inicialitzada acaben obtenint sortida, el que podria conduir a una omissió de KASLR.
Els investigadors afirmen que aquest atac és «impossible de detectar de forma remota en una xarxa» perquè és la lectura d'un arxiu legítim de el sistema operatiu Linux. «Si es fa servir correctament, un hacker podria aprofitar aquesta filtració d'informació per explotar amb èxit altres vulnerabilitats de Linux no pegats», diu Cisco.
A l'respecte d'això Google va dir recentment:
"Les falles de seguretat de la memòria amb freqüència amenacen la seguretat dels dispositius, especialment les aplicacions i els sistemes operatius. Per exemple, en el sistema operatiu mòbil Android també recolzat pel nucli de Linux, Google diu que va descobrir que més de la meitat de les vulnerabilitats de seguretat abordades en 2019 van ser el resultat d'errors de seguretat de la memòria ».
Finalment i no menys important es recomana actualitzar les versions 5.10-RC4, 5.4.66, 5.9.8 d'el nucli de Linux, ja que s'ha provat i s'ha confirmat que aquesta vulnerabilitat pot aprofitar les següents versions de el nucli de Linux.
Finalment si estàs interessat en conèixer més a l'respecte sobre la publicació, pots consultar els detalls al següent enllaç.