Berita baru-baru ini pecah bahwa mengidentifikasi kerentanan baru (sudah dikatalogkan di bawah CVE-2021-4204) dalam subsistem eBPF (untuk sebuah perubahan) ...
Dan subsistem eBPF tidak berhenti menjadi masalah keamanan utama untuk Kernel karena dengan mudah di tahun 2021 dua kerentanan diungkapkan per bulan dan yang kita bicarakan beberapa di antaranya di sini di blog.
Mengenai detail masalah saat ini, disebutkan bahwa kerentanan yang terdeteksi memungkinkan driver untuk berjalan di dalam kernel Linux dalam mesin virtual JIT khusus dan yang pada gilirannya memungkinkan pengguna lokal yang tidak memiliki hak istimewa untuk meningkatkan hak istimewa dan mengeksekusi kode mereka di tingkat kernel.
Dalam deskripsi masalah, mereka menyebutkan bahwa kerentanan ini disebabkan oleh pemindaian program eBPF yang tidak tepat yang dikirimkan untuk dieksekusi, karena subsistem eBPF menyediakan fungsi pembantu, yang kebenarannya diperiksa oleh pemverifikasi khusus.
Kerentanan ini memungkinkan penyerang lokal untuk meningkatkan hak istimewa pada
Instalasi Kernel Linux yang terpengaruh. Seorang penyerang harus terlebih dahulu mendapatkan
kemampuan untuk menjalankan kode dengan hak istimewa rendah pada sistem target untuk
memanfaatkan kerentanan ini.Kelemahan spesifik ada dalam penanganan program eBPF. Pertanyaan hasil dari kurangnya validasi yang tepat dari program eBPF yang disediakan pengguna sebelum menjalankannya.
Selain itu, beberapa fungsi memerlukan nilai PTR_TO_MEM untuk diteruskan sebagai argumen dan pemverifikasi harus mengetahui ukuran memori yang terkait dengan argumen untuk menghindari potensi masalah buffer overflow.
Sedangkan untuk fungsi bpf_ringbuf_submit dan bpf_ringbuf_discard, data tentang ukuran memori yang ditransfer tidak dilaporkan ke pemverifikasi (di sinilah masalah dimulai), yang dimanfaatkan penyerang untuk dapat digunakan untuk menimpa area memori di luar batas buffer saat mengeksekusi kode eBPF yang dibuat khusus.
Seorang penyerang dapat mengeksploitasi kerentanan ini untuk meningkatkan hak istimewa dan mengeksekusi kode dalam konteks kernel. CATATAN bahwa bpf unprivileged dinonaktifkan secara default pada sebagian besar distribusi.
Disebutkan bahwa agar pengguna melakukan serangan, pengguna harus dapat memuat program BPF Anda dan banyak distribusi Linux terbaru memblokir ini secara default (termasuk akses tanpa hak ke eBPF sekarang dilarang secara default di kernel itu sendiri, pada versi 5.16).
Misalnya, disebutkan bahwa kerentanan dapat dieksploitasi dalam konfigurasi default di distribusi yang masih cukup digunakan dan di atas semua sangat populer seperti itu Ubuntu 20.04 LTS, tetapi di lingkungan seperti Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 dan Fedora 33, itu hanya bermanifestasi jika administrator telah mengatur parameter kernel.unprivileged_bpf_disabled ke 0.
Saat ini, sebagai solusi untuk memblokir kerentanan, disebutkan bahwa Anda dapat mencegah pengguna yang tidak memiliki hak untuk menjalankan program BPF dengan menjalankan perintah di terminal:
sysctl -w kernel.unprivileged_bpf_disabled=1
Akhirnya, harus disebutkan bahwa masalahnya telah muncul sejak kernel Linux 5.8 dan tetap tidak ditambal (termasuk versi 5.16) dan itulah sebabnya kode eksploitasi akan tertunda selama 7 hari dan akan diterbitkan pada pukul 12:00 UTC, yaitu pada tanggal 18 Januari 2022.
Dengan itu ini dimaksudkan untuk memberikan waktu yang cukup agar tambalan korektif tersedia pengguna dari distribusi Linux yang berbeda dalam saluran resmi masing-masing dan baik pengembang maupun pengguna dapat memperbaiki kerentanan tersebut.
Bagi yang tertarik untuk mengetahui status formasi update dengan penghapusan masalah di beberapa distro utama, perlu diketahui bahwa mereka dapat dilacak dari halaman ini: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch.
Jika Anda tertarik untuk mengetahui lebih banyak tentangnya tentang catatan, Anda dapat berkonsultasi dengan pernyataan asli Di tautan berikut.