πριν ΛΙΓΕΣ μερες κυκλοφόρησε είδηση ότι η ευπάθεια εντοπίστηκε (ήδη έχει καταγραφεί στο CVE-2022-0185) καιn το API περιβάλλοντος συστήματος αρχείων παρέχεται από το πυρήνας linux που θα μπορούσε να επιτρέψει σε έναν τοπικό χρήστη να αποκτήσει δικαιώματα root στο σύστημα.
Αναφέρεται ότι Το πρόβλημα είναι ότι ένας μη προνομιούχος χρήστης μπορεί να λάβει τέτοια δικαιώματα σε ένα απομονωμένο κοντέινερ εάν η υποστήριξη για χώρους ονομάτων χρήστη είναι ενεργοποιημένη στο σύστημα.
Για παράδειγμα, οι χώροι ονομάτων χρήστη είναι ενεργοποιημένοι από προεπιλογή στο Ubuntu και στο Fedora, αλλά δεν είναι ενεργοποιημένοι στο Debian και στο RHEL (εκτός εάν χρησιμοποιούνται πλατφόρμες απομόνωσης κοντέινερ). Εκτός από την κλιμάκωση των προνομίων, η ευπάθεια μπορεί επίσης να χρησιμοποιηθεί για την έξοδο από ένα απομονωμένο κοντέινερ, εάν το κοντέινερ έχει εξουσία CAP_SYS_ADMIN.
Τρωτό υπάρχει στη συνάρτηση legacy_parse_param() στο VFS και οφείλεται στην έλλειψη κατάλληλης επικύρωσης του μέγιστου μεγέθους των παρεχόμενων παραμέτρων σε συστήματα αρχείων που δεν υποστηρίζουν το API περιβάλλοντος συστήματος αρχείων.
Πρόσφατα, αρκετοί φίλοι στην ομάδα μου CTF Crusaders of Rust και εγώ αντιμετωπίσαμε μια υπερχείλιση σωρού πυρήνα Linux 0 ημερών. Βρήκαμε το σφάλμα μέσω του fuzzing με το syzkaller και το αναπτύξαμε γρήγορα σε ένα Ubuntu LPE exploit. Στη συνέχεια το ξαναγράψαμε για να ξεφύγουμε και να ξεριζώσουμε τη σκληρυμένη υποδομή Kubernetes CTF της Google. Αυτό το σφάλμα επηρεάζει όλες τις εκδόσεις του πυρήνα από την 5.1 (το 5.16 είναι σε εξέλιξη) και του έχει εκχωρηθεί CVE-2022-0185. Το έχουμε ήδη αναφέρει στη λίστα αλληλογραφίας διανομής και ασφάλειας Linux και το σφάλμα έχει διορθωθεί από την κυκλοφορία αυτού του άρθρου.
Η μετάδοση πολύ μεγάλης παραμέτρου μπορεί να προκαλέσει υπερχείλιση της ακέραιας μεταβλητής που χρησιμοποιείται για τον υπολογισμό του μεγέθους των δεδομένων που γράφονται· ο κωδικός έχει έναν έλεγχο υπερχείλισης buffer "if (len > PAGE_SIZE - 2 - size)", ο οποίος δεν λειτουργεί εάν η τιμή μεγέθους είναι μεγαλύτερη από 4094 λόγω υπερχείλισης ακέραιου αριθμού μέσω του κάτω ορίου (ακέραιος υπερχείλιση, όταν μετατρέπεται 4096 – 2 – 4095 σε ανυπόγραφο int, παίρνει 2147483648).
Αυτό το σφάλμα επιτρέπει, κατά την πρόσβαση σε μια ειδικά κατασκευασμένη εικόνα FS, προκαλέσει υπερχείλιση buffer και αντικατάσταση δεδομένων πυρήνα ακολουθώντας την εκχωρημένη περιοχή μνήμης. Για την εκμετάλλευση της ευπάθειας, απαιτούνται δικαιώματα CAP_SYS_ADMIN, δηλαδή εξουσιοδότηση διαχειριστή.
Από το 2022, οι συμπαίκτες μας αποφάσισαν να βρουν μια ημέρα 0 το 2022. Δεν ήμασταν πολύ σίγουροι πώς να ξεκινήσουμε, αλλά επειδή η ομάδα μας είχε υψηλό βαθμό εξοικείωσης με τα τρωτά σημεία του πυρήνα του Linux, αποφασίσαμε να αγοράσουμε μερικούς αποκλειστικούς διακομιστές. και εκτελέστε το syzkaller fuzzer της Google. Στις 6 Ιανουαρίου στις 22:30 μ.μ. PST, το chop0 έλαβε την ακόλουθη αναφορά αποτυχίας του KASAN στο legacy_parse_param: slab-out-of-bounds Write in legacy_parse_param. Φαίνεται ότι το syzbot ανακάλυψε αυτό το πρόβλημα μόλις 6 ημέρες νωρίτερα κατά τη σύγχυση του Android, αλλά το πρόβλημα δεν αντιμετωπίστηκε και αφελώς σκεφτήκαμε ότι κανείς άλλος δεν το παρατήρησε.
Τέλος, αξίζει να αναφέρουμε ότι το πρόβλημα εκδηλώνεται από την έκδοση 5.1 του πυρήνα του Linux και επιλύθηκε στις ενημερώσεις που κυκλοφόρησαν πριν λίγες μέρες στις εκδόσεις 5.16.2, 5.15.16, 5.10.93, 5.4.173.
εκτός αυτού Οι ενημερώσεις πακέτων ευπάθειας έχουν ήδη κυκλοφορήσει για RHEL, Debian, Fedora και Ubuntu. Ενώ η λύση δεν είναι ακόμη διαθέσιμη στο Arch Linux, Gentoo, SUSE y OpenSuse.
Στην περίπτωση αυτών, αναφέρεται ότι ως λύση ασφαλείας για συστήματα που δεν χρησιμοποιούν απομόνωση κοντέινερ, μπορείτε να ορίσετε την τιμή του sysctl "user.max_user_namespaces" σε 0:
Ο ερευνητής που εντόπισε το πρόβλημα δημοσίευσε ένα demo ενός exploit qΤο ue επιτρέπει την εκτέλεση κώδικα ως root στο Ubuntu 20.04 στην προεπιλεγμένη διαμόρφωση. Προβλέπεται ότι ο κώδικας εκμετάλλευσης δημοσιεύεται στο GitHub εντός μιας εβδομάδας μετά ότι οι διανομές κυκλοφορούν μια ενημέρωση που διορθώνει την ευπάθεια.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες στο παρακάτω σύνδεσμο.
Ένας ακόμη λόγος για να μην αγγίξετε το snap με ένα ραβδί.