nylig der blev frigivet vigtige oplysninger om identifikation af en sårbarhed (opført som CVE-2021-27365) i iSCSI-undersystemkoden af linux-kernen tillader en uprivilegeret lokal bruger at udføre kode på kerneniveau og få root-rettigheder på systemet.
Problemet er forårsaget af en fejl i libiscsi-modulets iscsi_host_get_param()-funktion, introduceret tilbage i 2006 under udviklingen af iSCSI-undersystemet. På grund af manglen på korrekt størrelseskontrol kan nogle iSCSI-strengattributter, såsom værtsnavn eller brugernavn, overskride værdien PAGE_SIZE (4KB).
Sårbarheden kan udnyttes ved at sende Netlink-meddelelser ved at en uprivilegeret bruger indstiller iSCSI-attributterne til værdier større end PAGE_SIZE. Ved læsning af attributdata via sysfs eller seqfs kaldes kode for at videregive attributterne til sprintf, så de kopieres ind i en buffer, hvis størrelse er PAGE_SIZE.
Det særlige undersystem, der er tale om, er SCSI (Small Computer System Interface) datatransport, som er en standard for overførsel af data lavet til at forbinde computere med perifere enheder, oprindeligt via et fysisk kabel, såsom harddiske. SCSI er en ærværdig standard, der oprindeligt blev udgivet i 1986 og var guldstandarden for serveropsætninger, og iSCSI er grundlæggende SCSI over TCP. SCSI bruges stadig i dag, især til visse lagringssituationer, men hvordan bliver dette en angrebsoverflade på et standard Linux-system?
Udnyttelse af sårbarhed i udlodninger afhænger af understøttelse af automatisk indlæsning af kernemodulet scsi_transport_iscsi, når du forsøger at oprette en NETLINK_ISCSI-socket.
På distributioner, hvor dette modul indlæses automatisk, kan angrebet udføres uanset brugen af iSCSI-funktionalitet. Samtidig kræves der yderligere registrering af mindst én iSCSI-transport for at opnå succes med udnyttelsen. Til gengæld kan du for at registrere en transport bruge ib_iser-kernemodulet, som indlæses automatisk, når en uprivilegeret bruger forsøger at oprette en NETLINK_RDMA-socket.
Automatisk indlæsning af moduler, der er nødvendige for at bruge udnyttelsen understøtter CentOS 8, RHEL 8 og Fedora ved at installere rdma-core-pakken på systemet, som er en afhængighed for nogle populære pakker og er installeret som standard i konfigurationer til arbejdsstationer, server GUI-systemer og virtualiseringsværtsmiljøer.
Samtidig er rdma-core ikke installeret ved brug af en serverbuild, der kun virker i konsoltilstand og ved installation af et minimalt installationsbillede. For eksempel er pakken inkluderet i basisdistributionen af Fedora 31 Workstation, men ikke inkluderet i Fedora 31 Server.
Debian og Ubuntu er mindre modtagelige for problemet, da rdma-core-pakken kun indlæser de kernemoduler, der er nødvendige for et angreb, hvis RDMA-hardware er tilgængelig. Ubuntu-pakken på serversiden inkluderer dog open-iscsi-pakken, som inkluderer filen /lib/modules-load.d/open-iscsi.conf for at sikre, at iSCSI-moduler automatisk indlæses ved hver opstart.
En fungerende prototype af udnyttelsen er tilgængelig for prøv følgende link.
Sårbarheden blev rettet i Linux-kerneopdateringer 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 og 4.4.260. Kernelpakkeopdateringer er tilgængelige på Debian (oldstable), Ubuntu, SUSE/openSUSE, Arch Linux og Fedora-distributioner, mens der endnu ikke er udgivet rettelser til RHEL.
Også i iSCSI-undersystemet to mindre farlige sårbarheder er blevet rettet der kan føre til kernedatalæk: CVE-2021-27363 (information om iSCSI-transportbeskrivelse via sysfs lækket) og CVE-2021-27364 (læser et område uden for buffergrænserne) .
Disse sårbarheder kan udnyttes til at kommunikere over et netværkslinksocket med iSCSI-undersystemet uden de nødvendige privilegier. For eksempel kan en ikke-privilegeret bruger oprette forbindelse til iSCSI og udstede en logoff-kommando.
kilde: https://blog.grimm-co.com