Baru-baru ini tersiar kabar itu dua kerentanan diidentifikasi di kernel linux itu izinkan untuk menggunakan subsistem eBPF untuk mem-bypass perlindungan terhadap serangan Spectre 4 (SSB, Bypass Toko Spekulatif). Disebutkan bahwa dengan menggunakan program BPF unprivileged, penyerang dapat menciptakan kondisi untuk eksekusi spekulatif dari operasi tertentu dan menentukan konten area sewenang-wenang dari memori kernel.
Metode serangan Spectre 4 bergantung pada pemulihan data yang terperangkap dalam cache prosesor setelah membuang hasil eksekusi spekulatif operasi saat memproses operasi baca dan tulis yang disisipkan menggunakan pengalamatan tidak langsung.
Ketika operasi baca mengikuti operasi tulis, offset arah pembacaan mungkin sudah diketahui karena operasi serupa (operasi baca dilakukan lebih sering dan pembacaan dapat dilakukan dari cache) dan prosesor dapat membaca secara spekulatif sebelum menulis, tanpa menunggu offset arah penulisan tidak langsung dihitung.
Jika, setelah menghitung offset, persimpangan area memori untuk menulis dan membaca terdeteksi, prosesor hanya akan membuang hasil baca yang sudah diperoleh secara spekulatif dan ulangi operasi ini. Fungsi ini memungkinkan instruksi baca untuk mengakses nilai sebelumnya dalam beberapa arah saat operasi simpan masih tertunda.
Setelah mengesampingkan perdagangan spekulatif yang gagal, jejak eksekusinya tetap ada di cache, setelah itu salah satu metode untuk menentukan isi cache dapat digunakan untuk mengambilnya berdasarkan analisis perubahan waktu akses cache dan data cache.
Perhatikan bahwa setiap topik dapat disalahgunakan secara independen dari yang lain, bergantung pada dalam kesalahan yang tidak tumpang tindih.
PoC telah dibagikan secara pribadi dengan pengelola subsistem BPF untuk membantu dengan pengembangan pengaturan.
Kerentanan pertama CVE-2021-35477: disebabkan oleh kesalahan mekanisme validasi program BPF. Untuk menjaga dari serangan Spectre 4, pemeriksa menambahkan instruksi tambahan setelah operasi penyimpanan yang berpotensi merepotkan di memori, menyimpan nilai nol untuk mengimbangi jejak operasi sebelumnya.
Diasumsikan bahwa operasi penulisan nol akan sangat cepat dan akan memblokir eksekusi spekulatif karena hanya bergantung pada penunjuk bingkai tumpukan BPF. Namun, pada kenyataannya, dimungkinkan untuk membuat kondisi di mana instruksi yang mengarah ke eksekusi spekulatif memiliki waktu untuk dieksekusi sebelum operasi save preventif.
Kerentanan kedua CVE-2021-3455: terkait dengan fakta bahwa ketika pemeriksa BPF mendeteksi operasi penyimpanan yang berpotensi berbahaya di memori, area tumpukan BPF yang tidak diinisialisasi, operasi tulis pertama yang tidak dilindungi, diabaikan.
Fitur ini mengarah pada kemungkinan melakukan operasi pembacaan spekulatif, tergantung pada area memori yang tidak diinisialisasi, sebelum mengeksekusi instruksi penyimpanan. Memori baru untuk tumpukan BPF dialokasikan tanpa memeriksa konten yang sudah ada di memori yang dialokasikan, dan pada tahap sebelum program BPF dimulai, ada cara untuk mengelola konten area memori, yang kemudian akan dialokasikan ke tumpukan BPF.
Solusi yang tersedia menerapkan kembali teknik mitigasi untuk melanjutkan direkomendasikan oleh vendor CPU dan tersedia di kernel arus utama git repositori.
Terakhir, disebutkan bahwa pengelola subsistem eBPF di kernel memperoleh akses ke prototipe eksploit yang menunjukkan kemungkinan melakukan serangan dalam praktik.
Masalah diperbaiki dalam bentuk tambalan, yang akan disertakan dalam pembaruan kernel Linux berikutnya, sehingga pembaruan untuk distribusi yang berbeda akan mulai tiba selama beberapa hari ke depan.
sumber: https://www.openwall.com/