Vor kurzem wichtige Informationen über die Identifizierung von eine Schwachstelle (aufgeführt als CVE-2021-27365) im iSCSI-Subsystemcode Linux Kernel das Ermöglicht einem nicht privilegierten lokalen Benutzer, Code auf Kernel-Ebene auszuführen und Root-Rechte auf dem System zu erlangen.
Das Problem wird durch einen Fehler in der Funktion des libiscsi-Moduls iscsi_host_get_param () verursacht, der 2006 während der Entwicklung des iSCSI-Subsystems eingeführt wurde. Aufgrund des Fehlens geeigneter Größensteuerelemente können einige iSCSI-Zeichenfolgenattribute, wie z. B. Hostname oder Benutzername, den Wert PAGE_SIZE (4 KB) überschreiten.
Die Sicherheitsanfälligkeit kann durch Senden von Netlink-Nachrichten ausgenutzt werden von einem nicht privilegierten Benutzer, der iSCSI-Attribute auf Werte festlegt, die größer als PAGE_SIZE sind. Beim Lesen von Attributdaten über sysfs oder seqfs wird der Code aufgerufen, um die Attribute an sprintf zu übergeben, damit sie in einen Puffer mit der Größe PAGE_SIZE kopiert werden.
Das betreffende Subsystem ist der SCSI-Datentransport (Small Computer System Interface), ein Standard für die Übertragung von Daten zum Verbinden von Computern mit Peripheriegeräten, ursprünglich über ein physisches Kabel wie Festplatten. SCSI ist ein ehrwürdiger Standard, der ursprünglich 1986 veröffentlicht wurde und der Goldstandard für Serverkonfigurationen war, und iSCSI ist im Grunde SCSI über TCP. SCSI wird heute noch verwendet, insbesondere in bestimmten Speichersituationen. Wie wird dies jedoch zu einer Angriffsfläche auf einem Standard-Linux-System?
Verwundbarkeit ausnutzen in den Distributionen hängt von der Unterstützung für das automatische Laden des Kernelmoduls ab scsi_transport_iscsi beim Versuch, einen NETLINK_ISCSI-Socket zu erstellen.
In Distributionen, in denen dieses Modul automatisch geladen wird, kann der Angriff ausgeführt werden unabhängig von der Verwendung der iSCSI-Funktionalität. Gleichzeitig ist für die erfolgreiche Nutzung des Exploits zusätzlich die Registrierung mindestens eines iSCSI-Transports erforderlich. Um einen Transport zu registrieren, können Sie das Kernelmodul ib_iser verwenden, das automatisch geladen wird, wenn ein nicht privilegierter Benutzer versucht, einen NETLINK_RDMA-Socket zu erstellen.
Automatisches Laden von Modulen, die zur Verwendung des Exploits erforderlich sind unterstützt CentOS 8, RHEL 8 und Fedora durch Installation des rdma-core-Pakets auf dem SystemDies ist eine Abhängigkeit für einige gängige Pakete und wird standardmäßig in Konfigurationen für Workstations, Serversysteme mit GUI und Virtualisierung von Hostumgebungen installiert.
Gleichzeitig wird rdma-core nicht installiert, wenn ein Server-Build verwendet wird, der nur im Konsolenmodus funktioniert, und wenn ein minimales Installationsimage installiert wird. Das Paket ist beispielsweise in der Basisdistribution von Fedora 31 Workstation enthalten, jedoch nicht in Fedora 31 Server.
Debian und Ubuntu sind weniger anfällig für das Problemda das rdma-core-paket nur die für einen angriff benötigten kernelmodule lädt, wenn RDMA-hardware verfügbar ist. Das serverseitige Ubuntu-Paket enthält jedoch das open-iscsi-Paket, das die Datei /lib/modules-load.d/open-iscsi.conf enthält, um sicherzustellen, dass iSCSI-Module bei jedem Start automatisch geladen werden.
Ein funktionierender Prototyp des Exploits steht für zur Verfügung Probieren Sie den unten stehenden Link aus.
Die Sicherheitsanfälligkeit wurde in den Linux-Kernel-Updates 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 und 4.4.260 behoben. Kernel-Paket-Updates sind für Debian- (oldstable), Ubuntu-, SUSE / openSUSE-, Arch Linux- und Fedora-Distributionen verfügbar, während für RHEL noch keine Fixes veröffentlicht wurden.
Auch im iSCSI-Subsystem Zwei weniger gefährliche Sicherheitslücken wurden behoben Dies kann zu einem Verlust von Kerneldaten führen: CVE-2021-27363 (durchgesickerte Informationen über den iSCSI-Transportdeskriptor über sysfs) und CVE-2021-27364 (Lesen aus einem Bereich außerhalb der Puffergrenzen).
Diese Sicherheitsanfälligkeiten können ausgenutzt werden, um über einen Netzwerkverbindungssocket mit dem iSCSI-Subsystem ohne die erforderlichen Berechtigungen zu kommunizieren. Beispielsweise kann ein nicht privilegierter Benutzer eine Verbindung zu iSCSI herstellen und einen Abmeldebefehl senden.
Quelle: https://blog.grimm-co.com