Mõni päev tagasi avaldati uudis, et Netfilteris on tuvastatud haavatavus (võrgupakettide filtreerimiseks ja muutmiseks kasutatav Linuxi kerneli alamsüsteem), mis võimaldab kohalikul kasutajal omandada juurõigused süsteemisisegi isoleeritud konteineris olles.
CVE-2021-22555 haavatavus see on probleem, mis on olnud olemas alates tuuma 2.6.19, mis käivitati 15 aastat tagasi ja on põhjustatud veast draiverites IPT_SO_SET_REPLACE ja IP6T_SO_SET_REPLACE, mis põhjustab puhvri ülevoolu spetsiaalselt kaunistatud parameetrite saatmisel setockopti kõne kaudu ühilduvas režiimis.
Võib-olla imestavad paljud siinkohal, kuidas on võimalik, et Linuxi tuuma viga võib nii kaua märkamata jääda ja vastus sellele on, et kuigi viga, mis oli olemas pärast Linux 2.6.19, leiti haavatavus koodi kaudu auditi, kuigi C-kood ei olnud taasesitatav, nii et seda ei saanud kasutada, kuna sel ajal ei olnud privileegide eskaleerimiseks vajalikke ressursse.
Näiteks on privileegimata kasutajate nimeruumide tugi kernelis 3.8. Samuti on mõnel distributsioonil plaaster, mis lisab privileegimata kasutajate nimeruumide keelamiseks sysctl.
Tavalistes tingimustes saab ainult juurkasutaja helistada compat_setsockopt ()Kuid vajalikud load rünnaku sooritamiseks neid võib hankida ka privilegeerimata kasutaja süsteemides, kus kasutajanimed on lubatud.
CVE-2021-22555 on Linux Netfilteri 15-aastane virnast välja kirjutamise haavatavus, mis on piisavalt võimas, et mööduda kõigist tänapäevastest turvanõuetest ja saavutada tuumakoodi käivitamine.
Sellisena on seda kirjeldatud kohalik kasutaja saab luua eraldi juurkasutajaga konteineri ja sealset haavatavust ära kasutadaí. Näiteks "kasutajanimed" on vaikimisi lisatud Ubuntu ja Fedora, kuid mitte Debiani ja RHEL-i.
Seda haavatavust saab kasutada, kui selle osaliselt üle kirjutada
m_list->nextosutimsg_msgstruktuuri ja pärast kasutamist tasuta saamise. See on piisavalt võimas, et teie kerneli kood käivitataks mööda KASLRist, SMAPist ja SMEPist.
Samuti ilmneb probleem funktsioonis xt_compat_target_from_user () vale mälumahu arvutamise tõttu, kui tuuma struktuure salvestatakse pärast 32-bitiselt 64-bitisele esitusele teisendamist.
Sellisena mainitakse seda viga võimaldab kirjutada neli "null" baiti igasse kohta väljaspool puhvrit määratud, piiratud nihkega 0x4C. Seetõttu mainitakse seda see funktsioon osutus ekspluateerimise loomiseks piisavaks mis võimaldab saada juurõigusi: kustutades msg_msg struktuuris järgmise kursori m_list->, loodi tingimused andmetele juurdepääsuks pärast mälu vabastamist (kasuta pärast vaba), mida seejärel kasutati aadresside kohta teabe saamiseks ja muutub teistele struktuuridele, manipuleerides süsteemikutsega msgsnd ().
Nagu veaaruanne, nagu ka iga tuvastatud haavatavus, hõlmab see protsessi ja aruannet, mis tehti kerneli arendajatele aprillis, millega hiljem see mõne päeva jooksul parandati, ja plaaster, mis sisaldub kõigis toetatud levitustes, nii teavet vea kohta saab hiljem avaldada.
Debiani, Arch Linuxi ja Fedora projektid on pakettide värskendused juba loonud. Alates Ubuntust on RHEL ja SUSE värskendused töös. Kuna viga on tõsine, praktikas kasutatav ja võimaldab konteinerist põgeneda, Google hindas oma avastuse väärtuseks 10,000 XNUMX dollarit ja kahekordistas tasu teadlasele, kes tuvastas haavatavuse, ja meetodi kindlakstegemiseks, et vältida Kubernetese konteinerite eraldamist kCTF-klastris.
Testimiseks on välja töötatud ekspluateerimise toimiv prototüüp mis möödub KASLR, SMAP ja SMEP kaitsemehhanismidest.
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju kontrollida Järgmisel lingil.