Baru-baru ini informasi penting tentang identifikasi kerentanan (terdaftar sebagai CVE-2021-27365) dalam kode subsistem iSCSI Kernel Linux itu Mengizinkan pengguna lokal tanpa hak untuk menjalankan kode pada tingkat kernel dan mendapatkan hak akses root pada sistem.
Masalah ini disebabkan oleh bug dalam modul iscsi_host_get_param () libiscsi, yang diperkenalkan pada tahun 2006 selama pengembangan subsistem iSCSI. Karena kurangnya kontrol ukuran yang tepat, beberapa atribut string iSCSI, seperti nama host atau nama pengguna, mungkin melebihi nilai PAGE_SIZE (4KB).
Kerentanan dapat dimanfaatkan dengan mengirimkan pesan Netlink oleh pengguna tanpa hak istimewa yang menyetel atribut iSCSI ke nilai yang lebih besar dari PAGE_SIZE. Saat membaca data atribut melalui sysfs atau seqfs, kode dipanggil untuk meneruskan atribut ke sprintf sehingga mereka disalin ke buffer yang berukuran PAGE_SIZE.
Subsistem khusus yang dimaksud adalah transportasi data SCSI (Small Computer System Interface), yang merupakan standar untuk mentransfer data yang dibuat untuk menghubungkan komputer ke perangkat periferal, awalnya melalui kabel fisik, seperti hard drive. SCSI adalah standar terhormat yang awalnya diterbitkan pada tahun 1986 dan merupakan standar emas untuk konfigurasi server, dan iSCSI pada dasarnya adalah SCSI melalui TCP. SCSI masih digunakan sampai sekarang, terutama dalam situasi penyimpanan tertentu, tetapi bagaimana ini menjadi permukaan serangan pada sistem Linux default?
Memanfaatkan kerentanan dalam distribusi bergantung pada dukungan untuk pemuatan otomatis modul kernel scsi_transport_iscsi saat mencoba membuat soket NETLINK_ISCSI.
Dalam distribusi di mana modul ini dimuat secara otomatis, serangan dapat dilakukan terlepas dari penggunaan fungsionalitas iSCSI. Pada saat yang sama, untuk keberhasilan penggunaan exploit, registrasi setidaknya satu transport iSCSI juga diperlukan. Pada gilirannya, untuk mendaftarkan transport, Anda dapat menggunakan modul kernel ib_iser, yang dimuat secara otomatis ketika pengguna tanpa hak istimewa mencoba membuat soket NETLINK_RDMA.
Pemuatan otomatis modul yang diperlukan untuk menggunakan exploit mendukung CentOS 8, RHEL 8, dan Fedora dengan menginstal paket rdma-core pada sistem, yang merupakan dependensi untuk beberapa paket populer dan diinstal secara default dalam konfigurasi untuk workstation, sistem server dengan GUI, dan virtualisasi lingkungan host.
Pada saat yang sama, rdma-core tidak diinstal saat menggunakan server build yang hanya berfungsi dalam mode konsol dan saat menginstal gambar instalasi minimal. Misalnya, paket disertakan dalam distribusi Workstation Fedora 31 dasar, tetapi tidak disertakan dalam Server Fedora 31.
Debian dan Ubuntu tidak terlalu rentan terhadap masalah tersebutkarena paket rdma-core hanya memuat modul kernel yang diperlukan untuk serangan jika perangkat keras RDMA tersedia. Namun, paket Ubuntu sisi server menyertakan paket open-iscsi, yang menyertakan file /lib/modules-load.d/open-iscsi.conf untuk memastikan bahwa modul iSCSI dimuat secara otomatis pada setiap boot.
Prototipe eksploit yang berfungsi tersedia untuk coba di link di bawah ini.
Kerentanan telah diperbaiki di pembaruan kernel Linux 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, dan 4.4.260. Pembaruan paket kernel tersedia di distribusi Debian (oldstable), Ubuntu, SUSE / openSUSE, Arch Linux, dan Fedora, sedangkan untuk RHEL belum ada perbaikan yang dirilis.
Juga, di subsistem iSCSI dua kerentanan yang kurang berbahaya telah diperbaiki yang dapat menyebabkan kebocoran data kernel: CVE-2021-27363 (informasi bocor tentang deskriptor transport iSCSI melalui sysfs) dan CVE-2021-27364 (membaca dari wilayah di luar batas buffer).
Kerentanan ini dapat dimanfaatkan untuk berkomunikasi melalui soket tautan jaringan dengan subsistem iSCSI tanpa hak istimewa yang diperlukan. Misalnya, pengguna tanpa hak istimewa dapat menyambung ke iSCSI dan mengirim perintah logout.
sumber: https://blog.grimm-co.com