Πρόσφατα σημαντικές πληροφορίες για την ταυτοποίηση του μια ευπάθεια (αναφέρεται ως CVE-2021-27365) στον κώδικα υποσυστήματος iSCSI Πυρήνας Linux αυτό επιτρέπει σε έναν μη προνομιούχο τοπικό χρήστη να τρέξει κώδικα σε επίπεδο πυρήνα και να αποκτήσει δικαιώματα root στο σύστημα.
Το πρόβλημα προκαλείται από ένα σφάλμα στην ενότητα iscsi_host_get_param () του libiscsi, που παρουσιάστηκε το 2006 κατά την ανάπτυξη του υποσυστήματος iSCSI. Λόγω της έλλειψης κατάλληλων στοιχείων ελέγχου μεγέθους, ορισμένα χαρακτηριστικά συμβολοσειράς iSCSI, όπως όνομα κεντρικού υπολογιστή ή όνομα χρήστη, ενδέχεται να υπερβαίνουν την τιμή PAGE_SIZE (4KB).
Η ευπάθεια θα μπορούσε να αξιοποιηθεί στέλνοντας μηνύματα Netlink από έναν μη προνομιούχο χρήστη που ορίζει χαρακτηριστικά iSCSI σε τιμές μεγαλύτερες από PAGE_SIZE. Κατά την ανάγνωση δεδομένων χαρακτηριστικών μέσω sysfs ή seqfs, ο κωδικός καλείται να μεταβιβάσει τα χαρακτηριστικά στο sprintf έτσι ώστε να αντιγραφεί σε ένα buffer που έχει μέγεθος PAGE_SIZE.
Το συγκεκριμένο υποσύστημα είναι η μεταφορά δεδομένων SCSI (Small Computer System Interface), η οποία αποτελεί πρότυπο για τη μεταφορά δεδομένων που γίνονται για τη σύνδεση υπολογιστών σε περιφερειακές συσκευές, αρχικά μέσω φυσικού καλωδίου, όπως σκληρών δίσκων. Το SCSI είναι ένα σεβαστό πρότυπο που δημοσιεύθηκε αρχικά το 1986 και ήταν το χρυσό πρότυπο για διαμορφώσεις διακομιστή και το iSCSI είναι βασικά SCSI μέσω TCP. Το SCSI χρησιμοποιείται ακόμα σήμερα, ειδικά σε ορισμένες καταστάσεις αποθήκευσης, αλλά πώς γίνεται αυτό το επίπεδο επίθεσης σε ένα προεπιλεγμένο σύστημα Linux;
Εκμετάλλευση ευπάθειας στις διανομές εξαρτάται από την υποστήριξη για αυτόματη φόρτωση της μονάδας πυρήνα scsi_transport_iscsi όταν προσπαθείτε να δημιουργήσετε μια υποδοχή NETLINK_ISCSI.
Σε διανομές όπου αυτή η μονάδα φορτώνεται αυτόματα, η επίθεση μπορεί να πραγματοποιηθεί ανεξάρτητα από τη χρήση της λειτουργικότητας iSCSI. Ταυτόχρονα, για την επιτυχή χρήση του exploit, απαιτείται επιπλέον εγγραφή τουλάχιστον μίας μεταφοράς iSCSI. Με τη σειρά του, για να καταχωρήσετε μια μεταφορά, μπορείτε να χρησιμοποιήσετε τη μονάδα πυρήνα ib_iser, η οποία φορτώνεται αυτόματα όταν ένας μη προνομιούχος χρήστης προσπαθεί να δημιουργήσει μια υποδοχή NETLINK_RDMA.
Αυτόματη φόρτωση των ενοτήτων που απαιτούνται για τη χρήση του exploit υποστηρίζει CentOS 8, RHEL 8 και Fedora εγκαθιστώντας το πακέτο rdma-core στο σύστημα, η οποία αποτελεί εξάρτηση για ορισμένα δημοφιλή πακέτα και εγκαθίσταται από προεπιλογή στις ρυθμίσεις παραμέτρων για σταθμούς εργασίας, συστήματα διακομιστών με GUI και εικονικοποίηση περιβάλλοντος περιβάλλοντος.
Ταυτόχρονα, το rdma-core δεν εγκαθίσταται όταν χρησιμοποιείτε μια έκδοση διακομιστή που λειτουργεί μόνο σε λειτουργία κονσόλας και κατά την εγκατάσταση μιας ελάχιστης εικόνας εγκατάστασης. Για παράδειγμα, το πακέτο περιλαμβάνεται στη βάση διανομής σταθμών εργασίας Fedora 31, αλλά δεν περιλαμβάνεται στον διακομιστή Fedora 31.
Το Debian και το Ubuntu είναι λιγότερο ευαίσθητα στο πρόβλημακαθώς το πακέτο πυρήνα rdma φορτώνει μόνο τις μονάδες πυρήνα που απαιτούνται για μια επίθεση εάν το υλικό RDMA είναι διαθέσιμο. Ωστόσο, το πακέτο Ubuntu από το διακομιστή περιλαμβάνει το πακέτο open-iscsi, το οποίο περιλαμβάνει το αρχείο /lib/modules-load.d/open-iscsi.conf για να διασφαλιστεί ότι οι μονάδες iSCSI φορτώνονται αυτόματα σε κάθε εκκίνηση.
Ένα λειτουργικό πρωτότυπο του exploit είναι διαθέσιμο για δοκιμάστε τον παρακάτω σύνδεσμο.
Η ευπάθεια διορθώθηκε στις ενημερώσεις πυρήνα Linux 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 και 4.4.260. Οι ενημερώσεις πακέτου πυρήνα είναι διαθέσιμες σε διανομές Debian (oldstable), Ubuntu, SUSE / openSUSE, Arch Linux και Fedora, ενώ για το RHEL δεν έχουν ακόμη κυκλοφορήσει διορθώσεις.
Επίσης, στο υποσύστημα iSCSI έχουν διορθωθεί δύο λιγότερο επικίνδυνες ευπάθειες που μπορεί να οδηγήσει σε διαρροή δεδομένων πυρήνα: CVE-2021-27363 (διαρροές πληροφοριών σχετικά με τον περιγραφέα μεταφοράς iSCSI μέσω sysfs) και CVE-2021-27364 (ανάγνωση από μια περιοχή εκτός των ορίων buffer).
Αυτές οι ευπάθειες μπορούν να αξιοποιηθούν για να επικοινωνήσουν μέσω μιας υποδοχής σύνδεσης δικτύου με το υποσύστημα iSCSI χωρίς τα απαραίτητα δικαιώματα. Για παράδειγμα, ένας μη προνομιούχος χρήστης μπορεί να συνδεθεί στο iSCSI και να στείλει μια εντολή αποσύνδεσης.
πηγή: https://blog.grimm-co.com