Få dage siden nyheden blev frigivet om, at sårbarheden blev identificeret (allerede katalogiseret under CVE-2022-0185) ogn filsystemets kontekst-API leveret af Linux-kerne hvilket kunne give en lokal bruger mulighed for at få root-rettigheder på systemet.
Det nævnes det problemet er, at en uprivilegeret bruger kan få sådanne tilladelser i en isoleret container hvis understøttelse af brugernavneområder er aktiveret på systemet.
For eksempel er brugernavnerum aktiveret som standard på Ubuntu og Fedora, men er ikke aktiveret på Debian og RHEL (medmindre containerisoleringsplatforme bruges). Ud over privilegieeskalering kan sårbarheden også bruges til at bryde ud af en isoleret container, hvis containeren har CAP_SYS_ADMIN-autorisation.
Sårbarhed eksisterer i funktionen legacy_parse_param() i VFS og skyldes en mangel på korrekt validering af den maksimale størrelse af de leverede parametre på filsystemer, der ikke understøtter filsystemets kontekst-API.
For nylig stødte flere venner på mit CTF Crusaders of Rust-team og jeg på et 0-dages Linux-kernebunkeoverløb. Vi fandt fejlen gennem fuzzing med syzkaller og udviklede den hurtigt til en Ubuntu LPE-udnyttelse. Vi omskrev den derefter for at undslippe og roote Googles hærdede Kubernetes CTF-infrastruktur. Denne fejl påvirker alle kerneversioner siden 5.1 (5.16 er i gang i øjeblikket) og er blevet tildelt CVE-2022-0185. Vi har allerede rapporteret dette til Linux-distributions- og sikkerhedsmailinglisten, og fejlen blev rettet fra denne artikels udgivelse.
Passering af en for stor parameter kan forårsage overløb af den heltalsvariabel, der bruges til at beregne størrelsen af de data, der skrives; koden har en "if (len > PAGE_SIZE - 2 - størrelse)" bufferoverløbskontrol, som ikke virker, hvis størrelsesværdien er større end 4094 på grund af heltalsoverløb gennem den nedre grænse (heltalsoverløb, når konverteres 4096 – 2 – 4095 til usigneret int, får 2147483648).
Denne fejl tillader, når du får adgang til et specielt fremstillet FS-billede, forårsage et bufferoverløb og overskrive kernedata efter det tildelte hukommelsesområde. For at udnytte sårbarheden kræves CAP_SYS_ADMIN-rettigheder, dvs. administratorautoritet.
Fra 2022 besluttede vores holdkammerater at finde en dag 0 i 2022. Vi var ikke helt sikre på præcis, hvordan vi skulle starte, men da vores team havde en høj grad af fortrolighed med Linux-kernes sårbarheder, besluttede vi bare at købe nogle dedikerede servere. og kør Googles syzkaller fuzzer. Den 6. januar kl. 22:30 PST modtog chop0 følgende rapport om en KASAN-fejl i legacy_parse_param: slab-out-of-bounds Skriv i legacy_parse_param. Det ser ud til, at syzbot kun fandt dette problem 6 dage tidligere, da han fuzzede Android, men problemet blev ikke håndteret, og vi troede naivt, at ingen andre lagde mærke til det.
Til sidst er det værd at nævne, at problemet har vist sig siden Linux-kerneversion 5.1 og blev løst i de opdateringer, der blev udgivet for et par dage siden i versionerne 5.16.2, 5.15.16, 5.10.93, 5.4.173.
udover det Opdateringer af sårbarhedspakke er allerede blevet frigivet para RHEL, Debian, fedora og Ubuntu. Selvom løsningen endnu ikke er tilgængelig i Arch Linux, Gentoo, SUSE y openSUSE.
I tilfælde af disse nævnes det, at man som sikkerhedsløsning til systemer, der ikke bruger containerisolering, kan indstille værdien af sysctl "user.max_user_namespaces" til 0:
Forskeren, der identificerede problemet, har offentliggjort en demo af en udnyttelse que tillader at køre kode som root på Ubuntu 20.04 i standardkonfigurationen. Det er planlagt at udnyttelseskoden offentliggøres på GitHub inden for en uge efter at distributioner frigiver en opdatering, der løser sårbarheden.
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne i følgende link.
Endnu en grund til ikke at røre snap med en pind.