Récemment nous partageons ici sur le blog l'actualité de l'intérêt que Microsoft a montré à propos du sous-système eGMP, Depuis qu'il a construit un sous-système pour Windows qui utilise la méthode d'analyse statique d'interprétation abstraite, qui, comparée au vérificateur eBPF pour Linux, démontre un taux de faux positifs plus faible, prend en charge l'analyse de boucle et offre une bonne évolutivité.
La méthode prend en compte de nombreux modèles de performance typiques obtenus à partir de l'analyse des programmes eBPF existants. Ce sous-système eBPF est inclus dans le noyau Linux depuis la version 3.18 et Il vous permet de traiter les paquets réseau entrants / sortants, de transférer les paquets, de contrôler la bande passante, d'intercepter les appels système, de contrôler l'accès et le suivi.
Et est-ce que ça en parle, il a été récemment révélé que deux nouvelles vulnérabilités ont été identifiées dans le sous-système eBPF, qui vous permet d'exécuter des pilotes à l'intérieur du noyau Linux dans une machine virtuelle JIT spéciale.
Les deux vulnérabilités offrent la possibilité d'exécuter du code avec les droits du noyau, en dehors de la machine virtuelle eBPF isolée.
L'information sur les problèmes a été publié par l'équipe Zero Day Initiative, qui organise le concours Pwn2Own, au cours duquel cette année trois attaques sur Ubuntu Linux ont été démontrées, dans lequel des vulnérabilités jusqu'alors inconnues ont été utilisées (si les vulnérabilités de l'eBPF sont liées à ces attaques, elles ne sont pas signalées).
Le suivi des limites eBPF ALU32 pour les opérations au niveau du bit (ET, OU et XOR) Les limites 32 bits n'ont pas été mises à jour.
Manfred Paul (@_manfp) de l'équipe RedRocket CTF (@redrocket_ctf) travaille avec luiL'initiative Zero Day de Trend Micro a découvert que cette vulnérabilité il pourrait être converti en lectures et écritures hors limites dans le noyau. Cela a été signalé comme ZDI-CAN-13590 et attribué CVE-2021-3490.
- CVE-2021-3490 : La vulnérabilité est due au manque de vérification hors limites pour les valeurs 32 bits lors de l'exécution d'opérations AND, OR et XOR au niveau du bit sur eBPF ALU32. Un attaquant peut profiter de ce bogue pour lire et écrire des données en dehors des limites du buffer alloué. Le problème avec les opérations XOR existe depuis le noyau 5.7-rc1, et AND et OR depuis 5.10-rc1.
- CVE-2021-3489 : La vulnérabilité est causée par un bogue dans l'implémentation du tampon en anneau et est liée au fait que la fonction bpf_ringbuf_reserve n'a pas vérifié la possibilité que la taille de la zone mémoire allouée soit inférieure à la taille réelle du tampon ringbuf. Le problème est évident depuis la sortie de 5.8-rc1.
En outre, on peut également observer une autre vulnérabilité dans le noyau Linux: CVE-2021-32606, qui permet à un utilisateur local d'élever ses privilèges au niveau racine. Le problème se manifeste depuis le noyau Linux 5.11 et est causé par une condition de concurrence dans l'implémentation du protocole CAN ISOTP, ce qui permet de changer les paramètres de liaison de socket en raison du manque de configuration des verrous appropriés dans isotp_setsockopt () lorsque le drapeau est traité CAN_ISOTP_SF_BROADCAST.
Une fois la prise, ISOTP continue de se lier à la socket du récepteur, qui peut continuer à utiliser les structures associées à la socket après la libération de la mémoire associée (utilisation-après-libre en raison de l'appel de structure isotp_sock déjà libéré quand j'appellesotp_rcv(). En manipulant des données, vous pouvez remplacer le pointeur vers la fonction sk_error_report () et exécutez votre code au niveau du noyau.
Le statut des correctifs pour les vulnérabilités dans les distributions peut être suivi sur ces pages: Ubuntu, Debian, RHEL, Fedora, SUSE, voûte).
Les correctifs sont également disponibles sous forme de correctifs (CVE-2021-3489 et CVE-2021-3490). L'exploitation du problème dépend de la disponibilité de l'appel au système eBPF pour l'utilisateur. Par exemple, dans la configuration par défaut sur RHEL, l'exploitation de la vulnérabilité nécessite que l'utilisateur dispose des privilèges CAP_SYS_ADMIN.
Enfin si vous voulez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.