Hiljuti oluline teave - identifitseerimine haavatavus (loetletud kui CVE-2021-27365) iSCSI allsüsteemi koodis Linuxi kernel seda lubab privilegeerimata kohalikul kasutajal käivitada koodi kerneli tasemel ja saada juurõigusi süsteemis.
Probleemi põhjustab viga libiscsi mooduli iscsi_host_get_param () funktsioonis, mis võeti kasutusele 2006. aastal iSCSI alamsüsteemi arendamise käigus. Korralike suuruskontrollide puudumise tõttu võivad mõned iSCSI stringi atribuudid, näiteks hostinimi või kasutajanimi, ületada PAGE_SIZE (4KB) väärtust.
Haavatavust saab kasutada Netlinki sõnumite saatmisega kasutaja, kes määrab iSCSI atribuudid väärtusele, mis on suurem kui PAGE_SIZE. Atribuutide andmete lugemisel sysfs või seqfs kaudu kutsutakse koodi edastama atribuudid sprintfile, nii et need kopeeritakse PAGE_SIZE suurusega puhvrisse.
Konkreetseks kõnealuseks alamsüsteemiks on SCSI (Small Computer System Interface) andmeedastus, mis on standard arvutite ühendamiseks tehtud andmete edastamiseks välisseadmetesse, algselt füüsilise kaabli, näiteks kõvaketaste kaudu. SCSI on auväärne standard, mis avaldati algselt 1986. aastal ja oli serverikonfiguratsioonide kullastandard ning iSCSI on põhimõtteliselt SCSI üle TCP. SCSI-d kasutatakse tänapäevalgi, eriti teatud salvestusolukordades, kuid kuidas saab sellest Linuxi vaikesüsteemi rünnakupind?
Haavatavuse kasutamine jaotustes sõltub tuumamooduli automaatse kasutuse toest scsi_transport_iscsi NETLINK_ISCSI sokli loomisel.
Jaotustes, kus see moodul laaditakse automaatselt, saab rünnaku sooritada olenemata iSCSI funktsionaalsuse kasutamisest. Samal ajal on ekspluateerimise edukaks kasutamiseks vaja lisaks vähemalt ühe iSCSI transpordi registreerimist. Transpordi registreerimiseks võite omakorda kasutada ib_iser-kerneli moodulit, mis laaditakse automaatselt, kui privileegitud kasutaja proovib luua pesa NETLINK_RDMA.
Kasutamiseks vajalike moodulite automaatne laadimine toetab CentOS 8, RHEL 8 ja Fedorat, installides süsteemi rdma-core paketi, mis sõltub mõnest populaarsest paketist ja on vaikimisi installitud tööjaamade, GUI-ga serverisüsteemide ja hostikeskkondade virtualiseerimise konfiguratsioonidesse.
Samal ajal ei installita rdma-core ainult konsoolirežiimis töötava serveriehitise ja minimaalse installipildi installimisel. Näiteks pakett kuulub Fedora 31 Workstationi baasjaotusse, kuid ei kuulu Fedora 31 serverisse.
Debian ja Ubuntu on probleemile vähem vastuvõtlikudkuna rdma-core pakett laadib rünnakuks vajalikud kernelmoodulid ainult siis, kui RDMA riistvara on saadaval. Serveripoolne Ubuntu pakett sisaldab aga avatud iscsi paketti, mis sisaldab faili /lib/modules-load.d/open-iscsi.conf, et tagada iSCSI moodulite automaatne laadimine igale alglaadimisele.
Rakenduse jaoks on saadaval toimiv prototüüp proovige allolevat linki.
Haavatavus parandati Linuxi kerneli värskendustes 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 ja 4.4.260. Tuumapaketi värskendused on saadaval Debiani (oldstable), Ubuntu, SUSE / openSUSE, Arch Linux ja Fedora distributsioonides, samas kui RHEL-i jaoks pole veel ühtegi parandust avaldatud.
Samuti iSCSI alamsüsteemis fikseeritud on kaks vähem ohtlikku haavatavust mis võib viia tuumaandmete lekkimiseni: CVE-2021-27363 (lekkis teave iSCSI transpordikirjeldaja kohta sysf-ide kaudu) ja CVE-2021-27364 (lugemine puhvri piiridest väljapoole jäävast piirkonnast).
Neid haavatavusi saab kasutada võrguühenduse sokli kaudu iSCSI allsüsteemiga suhtlemiseks ilma vajalike õigusteta. Näiteks võib privilegeerimata kasutaja luua ühenduse iSCSI-ga ja saata väljalogimiskäsu.
allikas: https://blog.grimm-co.com