Nedávno důležité informace o identifikace zranitelnost (uvedeno jako CVE-2021-27365) v kódu subsystému iSCSI Linuxové jádro Umožňuje neprivilegovanému místnímu uživateli spustit kód na úrovni jádra a získat oprávnění root v systému.
Problém je způsoben chybou ve funkci modulu libiscsi iscsi_host_get_param (), který byl zaveden v roce 2006 během vývoje subsystému iSCSI. Kvůli nedostatku správných ovládacích prvků pro dimenzování mohou některé atributy řetězce iSCSI, například název hostitele nebo uživatelské jméno, překročit hodnotu PAGE_SIZE (4KB).
Tuto chybu zabezpečení lze zneužít zasíláním zpráv Netlink neprivilegovaným uživatelem, který nastavuje atributy iSCSI na hodnoty větší než PAGE_SIZE. Při čtení dat atributů prostřednictvím sysfs nebo seqfs je volán kód, který předá atributy sprintf, aby byla zkopírována do vyrovnávací paměti o velikosti PAGE_SIZE.
Konkrétním dotyčným subsystémem je přenos dat SCSI (Small Computer System Interface), což je standard pro přenos dat prováděných za účelem připojení počítačů k periferním zařízením, původně fyzickým kabelem, například pevnými disky. SCSI je ctihodný standard původně publikovaný v roce 1986 a byl zlatým standardem pro konfigurace serverů a iSCSI je v zásadě SCSI přes TCP. SCSI se dodnes používá, zejména v určitých úložných situacích, ale jak se z toho stane útočná plocha ve výchozím systému Linux?
Využití zranitelnosti v distribucích záleží na podpoře automatického načítání modulu jádra scsi_transport_iscsi při pokusu o vytvoření zásuvky NETLINK_ISCSI.
V distribucích, kde se tento modul načítá automaticky, lze útok provést bez ohledu na použití funkcí iSCSI. Současně je pro úspěšné využití zneužití navíc nutná registrace alespoň jednoho přenosu iSCSI. Pro registraci přenosu můžete zase použít modul jádra ib_iser, který se automaticky načte, když se neprivilegovaný uživatel pokusí vytvořit soket NETLINK_RDMA.
K použití exploitu je nutné automatické načítání modulů podporuje CentOS 8, RHEL 8 a Fedora instalací balíčku rdma-core do systému, což je závislost u některých populárních balíčků a je ve výchozím nastavení nainstalován do konfigurací pro pracovní stanice, serverové systémy s grafickým uživatelským rozhraním a virtualizaci hostitelských prostředí.
Současně se rdma-core nenainstaluje při použití sestavení serveru, které funguje pouze v režimu konzoly, a při instalaci minimálního instalačního obrazu. Balíček je například zahrnut v základní distribuci pracovní stanice Fedora 31, ale není zahrnut na serveru Fedora 31.
Debian a Ubuntu jsou méně náchylné k problémuprotože balíček rdma-core načte moduly jádra potřebné k útoku, pouze pokud je k dispozici hardware RDMA. Balíček Ubuntu na straně serveru však obsahuje balíček open-iscsi, který obsahuje soubor /lib/modules-load.d/open-iscsi.conf, aby bylo zajištěno automatické načtení modulů iSCSI při každém spuštění.
Fungující prototyp exploitu je k dispozici pro zkuste na níže uvedeném odkazu.
Chyba zabezpečení byla opravena v aktualizacích jádra Linuxu 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 a 4.4.260. Aktualizace balíčků jádra jsou k dispozici na distribucích Debian (oldstable), Ubuntu, SUSE / openSUSE, Arch Linux a Fedora, zatímco pro RHEL dosud nebyly vydány žádné opravy.
Také v subsystému iSCSI byly opraveny dvě méně nebezpečné chyby zabezpečení které mohou vést k úniku dat jádra: CVE-2021-27363 (uniklé informace o deskriptoru transportu iSCSI přes sysfs) a CVE-2021-27364 (čtení z oblasti mimo limity vyrovnávací paměti).
Tyto chyby zabezpečení lze zneužít ke komunikaci přes soket síťových odkazů se subsystémem iSCSI bez potřebných oprávnění. Například neprivilegovaný uživatel se může připojit k iSCSI a odeslat příkaz k odhlášení.
zdroj: https://blog.grimm-co.com