CAN BCM -verkkoprotokollan heikkous mahdollisti etuoikeuden eskalaation linux-ytimessä 

eilen julkaistiin tietoa Linux-ytimen haavoittuvuudesta ja joka on jo luetteloitu nimellä CVE-2021-3609. Tämä haavoittuvuus sallii paikallisen käyttäjän korottaa oikeuksiaan järjestelmään johtuen kilpailuolosuhteista CAN BCM -protokollan toteuttamisessa ja ilmeni Linux-ytimen versioissa 2.6.25 - 5.13-rc6.

Tuomio käyttää hyväkseen koska CAN BCM -protokollan avulla voit rekisteröidä oman viestien hallinnan ohjaimen alueverkon (CAN) ja kytke se tiettyyn verkkoliitäntään. Kun saapuva viesti saapuu, toiminto kutsutaan bcm_rx_handler () hyökkääjä voi hyödyntää kilpailutilannetta ja pakottaa verkkopistorasia sulkeutumaan suorituksen aikana bcm_rx_handler ().

Ongelma tulee, kun pistoke on suljettu ja funktiota kutsutaan bcm_release (), jossa rakenteille varattu muisti vapautuu bcm_op ja bcm_sock, joita käytetään edelleen käsittelijässä bcm_rx_handler () joka on edelleen käynnissä, jolloin syntyy tilanne, joka johtaa pääsyyn jo vapautettuun muistilohkoon (use-after-free).

Tämä on ilmoitus äskettäin ilmoitetusta virheestä (CVE-2021-3609) CAN BCM -verkkoprotokollassa Linux-ytimessä versiosta 2.6.25 päälinjaan 5.13-rc6.
Haavoittuvuus on kilpailutilanne muodossa net / can / bcm.c, joka sallii etuoikeuden eskalaation juurtumisen. Alun perin syzbot ilmoitti ongelmasta ja Norbert Slusarek osoittautui hyödynnettäväksi.

Hyökkäys kiehuu avaamalla kaksi CAN BCM -liitäntää ja sitomalla ne vcan-käyttöliittymään. Ensimmäisessä liittimessä soitat sendmsg () osoittimen kanssa RX_SETUP määrittääksesi ohjaimen saapuvia CAN-viestejä varten ja toisessa liittimessä, soitat sendmsg () lähettää viestin ensimmäiseen liittimeen.

Kun viesti saapuu, bcm_rx_handler () -kutsu laukaistaan ​​ja hyökkääjä ottaa oikean hetken ja sulkee ensimmäisen kannan, mikä johtaa bcm_release () ja rakenteiden käynnistäminen bcm_op ja bcm_sock, vaikka bcm_rx_handler () ei vielä valmistunut.

Manipuloimalla bcm_sock-sisältöä, hyökkääjä voi ohittaa osoitteen sk-> sk_data_ready (sk) -toiminnolle, ohjata uudelleen suorituksen ja käyttää palautuspainotteisen ohjelmoinnin (ROP) tekniikoita ohittamalla modprobe_path-parametrin ja saada koodin ajamaan juurina .

ROP-tekniikkaa käytettäessä hyökkääjä ei yritä laittaa koodiaan muistoksi, mutta se toimii palat koneohjeet ovat jo saatavilla ladatuissa kirjastoissa päättyen ohjauspalautuslausekkeeseen (pääsääntöisesti nämä ovat kirjastotoimintojen loppu).

Hyökkäyksen suorittamiseen tarvittavat oikeudet voi hankkia etuoikeutettu käyttäjä säilöistä, jotka on luotu järjestelmiin, joissa on käytössä käyttäjänimitilat. Esimerkiksi käyttäjätunnukset sisältyvät oletusarvoisesti Ubuntuun ja Fedoraan, mutta eivät ole käytössä Debianissa ja RHEL: ssä.

Hyödyntämisyritykseni keskittyy ytimiin, joiden versio on = = 5.4-rc1 sitoutuneesta bf74aa86e111. En tutkinut yli 5.4-rc1: n vanhempien ytimien hyväksikäyttöä taskleteillä, mutta myös vanhempien ytimien hyödyntäminen vaikuttaa toteutettavalta. 

Mainitaan se haavoittuvuuden tunnistanut tutkija pystyi valmistelemaan hyväksikäytön saada juurioikeudet järjestelmiin, joissa on ytimet versiosta 5.4 ja uudemmista, mukaan lukien mahdollisuus onnistuneeseen hyökkäykseen Ubuntu 20.04.02 LTS: ää vastaan.

Hyödyntämisen työ supistuu kutsuketjun rakentamiseksi vastaaville lohkoille ("gadgeteille") vaaditun toiminnallisuuden saavuttamiseksi. Hyökkäys edellyttää pääsyä CAN-pistorasioiden ja määritetyn vcan-verkkoliittymän luomiseen.

Vihdoin mainitaan, että ongelma jatkuu edelleen useimmissa jakeluissa, mutta vastaavien päivitysten julkaisu on päivien kysymys.

Jos olet kiinnostunut tietämään siitä lisää, voit kuulla seuraava linkki.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.