nemrég fontos információk - azonosítása sebezhetőség (CVE-2021-27365 néven szerepel) az iSCSI alrendszer kódjában Linux kernel Engedélyezi egy kiváltságtalan helyi felhasználó számára, hogy kódot futtasson a kernel szintjén, és gyökérjogosultságokat szerezzen a rendszeren.
A problémát a libiscsi iscsi_host_get_param () modul funkciójának hibája okozza, amelyet még 2006-ban vezettek be az iSCSI alrendszer fejlesztése során. Megfelelő méretezési vezérlők hiánya miatt egyes iSCSI karakterlánc-attribútumok, például a gazdagépnév vagy a felhasználónév, meghaladhatják a PAGE_SIZE (4KB) értéket.
A biztonsági rés kihasználható Netlink üzenetek küldésével előjog nélküli felhasználó, aki az iSCSI attribútumokat PAGE_SIZE értéknél nagyobb értékekre állítja be. Amikor az attribútumadatokat sysfs vagy seqfs-en keresztül olvassa, a kódot arra hívják, hogy továbbítsa az attribútumokat a sprintf-nek, hogy azokat átmásolják egy PAGE_SIZE méretű pufferbe.
A szóban forgó alrendszer az SCSI (Small Computer System Interface) adatátvitel, amely szabvány a számítógépek és perifériák összekapcsolására készített adatok eredetileg fizikai kábelen, például merevlemezeken keresztül történő továbbítására. Az SCSI egy tiszteletreméltó szabvány, amelyet eredetileg 1986-ban tettek közzé, és ez volt a kiszolgálókonfigurációk arany standardja, az iSCSI pedig alapvetően a TCP-n keresztüli SCSI. Az SCSI-t ma is használják, különösen bizonyos tárolási helyzetekben, de hogyan válhat ez támadási felületté egy alapértelmezett Linux rendszeren?
A sebezhetőség kihasználása az eloszlásokban a kernelmodul automatikus letöltésének támogatásától függ scsi_transport_iscsi, amikor megpróbál létrehozni egy NETLINK_ISCSI foglalatot.
Azon terjesztéseken, ahol ez a modul automatikusan betöltődik, a támadás végrehajtható az iSCSI funkcionalitás használatától függetlenül. Ugyanakkor a kihasználás sikeres használatához legalább egy iSCSI szállítás regisztrálása szükséges. Viszont a szállítás regisztrálásához használhatja az ib_iser kernelmodult, amely automatikusan betöltődik, amikor egy jogosult felhasználó megpróbál létrehozni egy NETLINK_RDMA foglalatot.
A kihasználáshoz szükséges modulok automatikus betöltése támogatja a CentOS 8-at, az RHEL 8-at és a Fedorát az rdma-core csomag telepítésével a rendszerre, amely néhány népszerű csomag függvénye, és alapértelmezés szerint a munkaállomások, a GUI-val rendelkező kiszolgáló rendszerek és a gazdagép környezetek virtualizációjának konfigurációiban van telepítve.
Ugyanakkor az rdma-core nem kerül telepítésre, ha csak konzol módban működő szerver buildet használunk, és ha minimális telepítési képet telepítünk. Például a csomag az alap Fedora 31 Workstation disztribúcióban található, de a Fedora 31 Server nem tartalmazza.
A Debian és az Ubuntu kevésbé érzékeny a problémáramivel az rdma-core csomag csak akkor tölti be a támadáshoz szükséges kernelmodulokat, ha rendelkezésre áll az RDMA hardver. A kiszolgálóoldali Ubuntu csomag azonban tartalmazza az open-iscsi csomagot, amely tartalmazza az /lib/modules-load.d/open-iscsi.conf fájlt annak biztosítására, hogy az iSCSI modulok automatikusan betöltődjenek minden indításkor.
A kiaknázás működő prototípusa elérhető próbáld meg az alábbi linket.
A biztonsági rést a Linux kernel 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 és 4.4.260 frissítésében javították. A kernel csomag frissítései elérhetők a Debian (oldstable), az Ubuntu, a SUSE / openSUSE, az Arch Linux és a Fedora disztribúciókon, míg az RHEL esetében még nem jelentek meg javítások.
Továbbá az iSCSI alrendszerben két kevésbé veszélyes sebezhetőséget javítottak ami kerneladat-szivárgáshoz vezethet: CVE-2021-27363 (az iSCSI szállítási leíróval kapcsolatos információk kiszivárogtatása sysfs-en keresztül) és CVE-2021-27364 (olvasás a pufferhatáron kívüli régióból).
Ezek a biztonsági rések kihasználhatók az iSCSI alrendszerrel való hálózati kapcsolatokon keresztüli kommunikációhoz a szükséges jogosultságok nélkül. Például egy előjog nélküli felhasználó csatlakozhat az iSCSI-hez, és kijelentkezési parancsot küldhet.
forrás: https://blog.grimm-co.com