Ils ont détecté une vulnérabilité dans le noyau qui pourrait permettre le vol d'informations

Les chercheurs de Cisco Talos ont publié Il ya quelques jours une vulnérabilité dans le noyau Linux qui pourrait être exploitée pour voler des données et servent également de moyen d'élever les privilèges et de compromettre le système.

Vulnérabilité décrit comme une `` vulnérabilité de divulgation d'informations ce qui pourrait permettre à un attaquant de voir la mémoire de la pile du noyau. '

CVE-2020-28588 est la vulnérabilité qui découverte dans les périphériques ARM fonctionnalité proc / pid / syscall Périphériques 32 bits exécutant le système d'exploitation. Selon Cisco Talos, le problème a été découvert pour la première fois sur un appareil exécutant Azure Sphere.

Il existe une vulnérabilité de divulgation d'informations dans la fonctionnalité / proc / pid / syscall de Linux Kernel 5.1 Stable et 5.4.66. Plus précisément, ce problème a été introduit dans la v5.1-rc4 (commits 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) et est toujours présent dans la v5.10-rc4, donc toutes les versions intermédiaires sont susceptibles d'être affectées. Un attaquant peut lire / proc / pid / syscall pour activer cette vulnérabilité, entraînant la perte de contenu mémoire du noyau.

Proc est un pseudo-système de fichiers spécial sur les systèmes d'exploitation de type Unix qui utilisé pour accéder dynamiquement aux données de processus trouvé dans le noyau. Présente les informations de processus et d'autres informations système dans une structure hiérarchique semblable à un fichier.

Par exemple, il contient des sous-répertoires / proc / [pid], chacun contenant des fichiers et des sous-répertoires qui exposent des informations sur des processus spécifiques, lisibles à l'aide de l'ID de processus correspondant. Dans le cas du fichier "syscall", il s'agit d'un fichier du système d'exploitation Linux légitime qui contient les journaux des appels système utilisés par le noyau.

Pour l'entreprise, lLes pirates pourraient exploiter la faille et accéder au système d'exploitation et au fichier syscall via un système utilisé pour interagir entre les structures de données du noyau, Proc. L'entrée syscall procfs pourrait être exploitée si les pirates émettaient des commandes pour générer 24 octets de mémoire de tas non initialisée, conduisant à un contournement de la randomisation de la disposition de l'espace d'adressage du noyau (KASLR).

En regardant cette fonction spécifique, tout semble bien, mais il convient de noter que le argsle paramètre passé provient de proc_pid_syscallfonction et en tant que tel est en fait de type __u64 args. Dans un système ARM, la définition de fonction convertit la taille du argtableau en éléments de quatre octets à partir de huit octets (puisque unsigned longdans ARM, c'est 4 octets), ce qui se traduit par memcpyest copié sur 20 octets (plus 4 pour args[0]).

De même, pour i386, où unsigned longc'est 4 octets, juste argsles 24 premiers octets de l'argument sont écrits, laissant les 24 octets restants intacts.

Dans les deux cas, si l'on regarde en arrière proc_pid_syscallfonction.

Alors que dans ARM 32 bits et i386, nous ne copions que 24 octets dans le argstableau, la chaîne de format finit par lire 48 octets du argsmatrice, puisque le %llxLa chaîne de format est de huit octets sur les systèmes 32 bits et 64 bits. Ainsi, 24 octets de mémoire de tas non initialisée finissent par obtenir une sortie, ce qui pourrait conduire à un contournement de KASLR.

Les chercheurs affirment que cette attaque est "impossible à détecter à distance sur un réseau" car il lit un fichier légitime à partir du système d'exploitation Linux. «S'il est utilisé correctement, un pirate informatique pourrait profiter de cette fuite d'informations pour exploiter avec succès d'autres vulnérabilités Linux non corrigées», déclare Cisco.

À cet égard, Google a récemment déclaré:

«Les failles de sécurité de la mémoire menacent souvent la sécurité des périphériques, en particulier les applications et les systèmes d'exploitation. Par exemple, dans le système d'exploitation mobile Android également pris en charge par le noyau Linux, Google affirme avoir constaté que plus de la moitié des vulnérabilités de sécurité corrigées en 2019 étaient le résultat de bogues de sécurité de la mémoire.

Enfin et surtout Il est recommandé de mettre à jour les versions 5.10-rc4, 5.4.66, 5.9.8 du noyau Linux, car Cette vulnérabilité a été testée et confirmée pour pouvoir exploiter les versions suivantes du noyau Linux.

Enfin si vous souhaitez en savoir plus À propos du message, vous pouvez vérifier les détails dans le lien suivant


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.