Πρόσφατα, κυκλοφόρησε η είδηση ότι εντοπίστηκαν αρκετά τρωτά σημεία που ταξινομήθηκαν ως επικίνδυνα στον πυρήνα linux και που επιτρέπουν σε έναν τοπικό χρήστη να αυξήσει τα προνόμιά του στο σύστημα.
Το πρώτο από τα τρωτά σημεία είναι CVE-2022-0995 και είναι παρόν στο υποσύστημα παρακολούθησης συμβάντων "watch_queue" και αυτό προκαλεί την εγγραφή δεδομένων σε μια περιοχή της μνήμης του πυρήνα έξω από το εκχωρημένο buffer. Η επίθεση μπορεί να πραγματοποιηθεί από οποιονδήποτε χρήστη χωρίς δικαιώματα και ο κώδικάς του να εκτελεστεί με δικαιώματα πυρήνα.
Η ευπάθεια υπάρχει στη συνάρτηση watch_queue_set_size() και σχετίζεται με μια προσπάθεια διαγραφής όλων των δεικτών από τη λίστα, ακόμα κι αν δεν τους έχει εκχωρηθεί μνήμη. Το πρόβλημα εκδηλώνεται κατά την κατασκευή του πυρήνα με την επιλογή "CONFIG_WATCH_QUEUE=y", η οποία χρησιμοποιείται από τις περισσότερες διανομές Linux.
Αναφέρεται ότι η ευπάθεια λύθηκε σε μια αλλαγή που προστέθηκε σε πυρήνα στις 11 Μαρτίου.
Η δεύτερη ευπάθεια που αποκαλύφθηκε είναι η CVE-2022-27666 τι είναι υπάρχουν στις μονάδες πυρήνα esp4 και esp6 που υλοποιούν μετασχηματισμούς Encapsulating Security Payload (ESP) για IPsec που χρησιμοποιείται όταν χρησιμοποιείται τόσο το IPv4 όσο και το IPv6.
Τρωτό επιτρέπει σε έναν τοπικό χρήστη με κανονικά δικαιώματα να αντικαταστήσει αντικείμενα στη μνήμη του πυρήνα και να αυξήσει τα προνόμιά του μέσα στο σύστημα. Το πρόβλημα οφείλεται σε ασυμφωνία μεταξύ του μεγέθους της εκχωρημένης μνήμης και των δεδομένων που λαμβάνονται πραγματικά, καθώς το μέγιστο μέγεθος του μηνύματος θα μπορούσε να υπερβεί το μέγιστο μέγεθος της εκχωρημένης μνήμης για τη δομή skb_page_frag_refill.
Αναφέρεται ότι η ευπάθεια διορθώθηκε στον πυρήνα στις 7 Μαρτίου (διορθώθηκε στις 5.17, 5.16.15 κ.λπ.), συν έχει δημοσιευτεί ένα λειτουργικό πρωτότυπο από ένα exploit που επιτρέπει σε έναν κανονικό χρήστη να αποκτήσει πρόσβαση root στο Ubuntu Desktop 21.10 στις προεπιλεγμένες ρυθμίσεις στο GitHub.
Δηλώνεται ότι Με μικρές αλλαγές, το exploit θα λειτουργεί και στο Fedora και στο Debian. Θα πρέπει να σημειωθεί ότι το exploit προετοιμάστηκε αρχικά για τον διαγωνισμό pwn2own 2022, αλλά το σχετικό σφάλμα εντοπίστηκε και διορθώθηκε από τους προγραμματιστές του πυρήνα, οπότε αποφασίστηκε να αποκαλυφθούν οι λεπτομέρειες της ευπάθειας.
Άλλα τρωτά σημεία που αποκαλύφθηκαν είναι τα CVE-2022-1015 y CVE-2022-1016 στο υποσύστημα netfilter στη λειτουργική μονάδα nf_tables που τροφοδοτεί το φίλτρο πακέτων nftables. Ο ερευνητής που εντόπισε τα ζητήματα ανακοίνωσε την προετοιμασία λειτουργικών εκμεταλλεύσεων και για τα δύο τρωτά σημεία, τα οποία σχεδιάζεται να κυκλοφορήσουν λίγες ημέρες μετά την κυκλοφορία των ενημερώσεων του πακέτου πυρήνα από τις διανομές.
Το πρώτο πρόβλημα επιτρέπει σε έναν μη προνομιούχο τοπικό χρήστη να επιτύχει εγγραφή εκτός ορίων στη στοίβα. Παρουσιάζεται υπερχείλιση κατά την επεξεργασία καλοσχηματισμένων εκφράσεων nftables που υποβάλλονται σε επεξεργασία κατά τη φάση επικύρωσης των ευρετηρίων που παρέχονται από έναν χρήστη που έχει πρόσβαση στους κανόνες του nftables.
Η ευπάθεια οφείλεται στο γεγονός ότι οι προγραμματιστές υπονοούσαν ότι η τιμή του "enum nft_registers reg" είναι ένα byte, ενώ όταν ορισμένες βελτιστοποιήσεις είναι ενεργοποιημένες, ο μεταγλωττιστής, σύμφωνα με την προδιαγραφή C89, μπορείτε να χρησιμοποιήσετε μια τιμή 32 bit γι 'αυτό. Εξαιτίας αυτής της ιδιορρυθμίας, το μέγεθος που χρησιμοποιείται για τον έλεγχο και την κατανομή της μνήμης δεν αντιστοιχεί στο πραγματικό μέγεθος των δεδομένων στη δομή, οδηγώντας σε ουρά της δομής σε δείκτες στοίβας.
Το πρόβλημα μπορεί να αξιοποιηθεί για την εκτέλεση κώδικα σε επίπεδο πυρήνα, αλλά μια επιτυχημένη επίθεση απαιτεί πρόσβαση σε nftables.
Μπορούν να ληφθούν σε ξεχωριστό χώρο ονομάτων δικτύου (χώροι ονομάτων δικτύου) με δικαιώματα CLONE_NEWUSER ή CLONE_NEWNET (για παράδειγμα, εάν μπορείτε να εκτελέσετε ένα απομονωμένο κοντέινερ). Η ευπάθεια σχετίζεται επίσης στενά με τις βελτιστοποιήσεις που χρησιμοποιεί ο μεταγλωττιστής, οι οποίες, για παράδειγμα, ενεργοποιούνται κατά τη μεταγλώττιση σε λειτουργία "CONFIG_CC_OPTIMIZE_FOR_PERFORMANCE=y". Η εκμετάλλευση της ευπάθειας είναι δυνατή από τον πυρήνα Linux 5.12.
Παρουσιάζεται η δεύτερη ευπάθεια στο φίλτρο δικτύου κατά την πρόσβαση μια περιοχή μνήμης που έχει ήδη ελευθερωθεί (χρήση-μετά-δωρεάν) στο πρόγραμμα οδήγησης nft_do_chain και μπορεί να προκαλέσει διαρροή μη αρχικοποιημένων περιοχών μνήμης πυρήνα που μπορούν να διαβαστούν με χειρισμό με εκφράσεις nftables και να χρησιμοποιηθούν, για παράδειγμα, για τον προσδιορισμό διευθύνσεων δείκτη κατά την ανάπτυξη εκμεταλλεύσεων για άλλες ευπάθειες. Η εκμετάλλευση της ευπάθειας είναι δυνατή από τον πυρήνα Linux 5.13.
Τα τρωτά σημεία επιδιορθώθηκαν στις πρόσφατες διορθωτικές ενημερώσεις πυρήνα.