Beberapa hari yang lalu tersiar kabar bahwa kerentanan telah diidentifikasi di Netfilter (subsistem kernel Linux yang digunakan untuk memfilter dan memodifikasi paket jaringan), yang memungkinkan pengguna lokal untuk mendapatkan hak akses root dalam sebuah sistembahkan dalam wadah terisolasi.
Kerentanan CVE-2021-22555 itu masalah yang sudah ada sejak kernel 2.6.19, diluncurkan 15 tahun yang lalu dan sekarang disebabkan oleh bug pada driver IPT_SO_SET_REPLACE dan IP6T_SO_SET_REPLACE, yang menyebabkan buffer overflow saat mengirim parameter yang didekorasi secara khusus melalui panggilan setsockopt dalam mode compat.
Mungkin banyak orang pada saat ini akan bertanya-tanya bagaimana mungkin sebuah cacat pada kernel Linux bisa luput dari perhatian begitu lama dan jawabannya adalah bahwa meskipun cacat yang ada sejak Linux 2.6.19, kerentanan ditemukan melalui kode audit, meskipun kode C tidak dapat direproduksi, sehingga tidak dapat dieksploitasi karena sumber daya yang diperlukan untuk meningkatkan hak istimewa tidak ditemukan pada saat itu.
Misalnya, dukungan untuk ruang nama pengguna yang tidak memiliki hak istimewa ada di kernel 3.8. Juga, beberapa distribusi memiliki tambalan yang menambahkan sysctl untuk menonaktifkan ruang nama pengguna yang tidak memiliki hak istimewa.
Dalam keadaan normal, hanya pengguna root yang dapat memanggil compat_setsockopt()tapi izin yang diperlukan untuk melakukan serangan mereka juga dapat diperoleh oleh pengguna yang tidak memiliki hak pada sistem dengan ruang nama pengguna diaktifkan.
CVE-2021-22555 adalah kerentanan penulisan tumpukan keluar tumpukan berusia 15 tahun di Linux Netfilter yang cukup kuat untuk melewati semua mitigasi keamanan modern dan mencapai eksekusi kode kernel.
Dengan demikian, dijelaskan bahwa pengguna lokal dapat membuat wadah dengan pengguna root terpisah dan mengeksploitasi kerentanan dari sanasaya. Misalnya, "ruang nama pengguna" disertakan secara default di Ubuntu dan Fedora, tetapi tidak di Debian dan RHEL.
Kerentanan ini dapat dieksploitasi dengan menimpa sebagian
m_list->nextpenunjukmsg_msgstruktur dan mencapai gratis setelah digunakan. Ini cukup ampuh untuk menjalankan kode kernel Anda melewati KASLR, SMAP, dan SMEP.
Juga, masalah muncul dalam fungsi xt_compat_target_from_user () karena perhitungan ukuran memori yang salah saat menyimpan struktur kernel setelah konversi dari representasi 32-bit ke 64-bit.
Dengan demikian, disebutkan bahwa kesalahan memungkinkan penulisan empat byte "nol" ke posisi apa pun di luar buffer ditugaskan, dibatasi oleh offset 0x4C. Karena itu, disebutkan bahwa fitur ini ternyata cukup untuk membuat exploit yang memungkinkan memperoleh hak root: dengan menghapus m_list-> penunjuk berikutnya dalam struktur msg_msg, kondisi untuk mengakses data setelah mengosongkan memori dibuat (gunakan-setelah-bebas), yang kemudian digunakan untuk memperoleh informasi tentang alamat dan perubahan ke struktur lain dengan memanipulasi panggilan sistem msgsnd ().
Mengenai laporan kesalahan, seperti kerentanan apa pun yang terdeteksi, ini melibatkan proses dan laporan yang dibuat ke pengembang kernel pada bulan April, yang setelah itu diperbaiki dalam beberapa hari dan patch yang disertakan dalam semua distribusi yang didukung, jadi bahwa informasi tentang bug dapat dirilis nanti.
Proyek Debian, Arch Linux, dan Fedora telah menghasilkan pembaruan paket. Dimulai dengan Ubuntu, pembaruan RHEL dan SUSE sedang dikerjakan. Karena kesalahannya serius, dapat dieksploitasi dalam praktik dan memungkinkan untuk melarikan diri dari wadah, Google memperkirakan penemuannya sebesar $ 10,000 dan menggandakan hadiahnya kepada peneliti yang mengidentifikasi kerentanan dan untuk mengidentifikasi metode untuk menghindari isolasi container Kubernetes pada cluster kCTF.
Untuk pengujian, prototipe kerja eksploitasi telah disiapkan yang melewati mekanisme perlindungan KASLR, SMAP dan SMEP.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Anda dapat memeriksa detailnya Di tautan berikut.