Baru-baru ini tersiar kabar itu kerentanan teridentifikasi (CVE-2021-29154) di subsistem eBPF, yang halMengizinkan menjalankan pelacakan, analisis subsistem, dan pengontrol kontrol lalu lintas berjalan di dalam kernel Linux di mesin virtual JIT khusus itu memungkinkan pengguna lokal untuk menjalankan kode Anda di tingkat kernel.
Menurut para peneliti yang mengidentifikasi kerentanan, mereka dapat mengembangkan prototipe eksploit yang berfungsi untuk sistem x86 32-bit dan 64-bit yang dapat digunakan oleh pengguna yang tidak memiliki hak istimewa.
Pada saat bersamaan, Red Hat mencatat bahwa tingkat keparahan masalah bergantung pada ketersediaan panggilan sistem eBPF. untuk pengguna. Misalnya, di RHEL dan sebagian besar distribusi Linux lainnya secara default, kerentanan dapat dieksploitasi saat BPF JIT diaktifkan dan pengguna memiliki hak CAP_SYS_ADMIN.
Masalah telah ditemukan di kernel Linux yang dapat mereka penyalahgunaan
pengguna lokal yang tidak memiliki hak istimewa untuk meningkatkan hak istimewa.Masalahnya adalah bagaimana penyusun BPF JIT menghitung untuk beberapa arsitektur
Offset cabang saat membuat kode mesin. Ini bisa disalahgunakan
untuk membuat kode mesin yang tidak wajar dan menjalankannya dalam mode kernel,
di mana aliran kontrol dibajak untuk mengeksekusi kode yang tidak aman.
Dan mereka merinci itu masalah ini disebabkan oleh kesalahan yang dihasilkan saat menghitung offset instruksi percabangan selama kompiler JIT yang menghasilkan kode mesin.
Secara khusus, disebutkan bahwa saat membuat instruksi cabang, tidak diperhitungkan bahwa perpindahan dapat berubah setelah melalui tahap optimasi, sehingga kegagalan ini dapat digunakan untuk menghasilkan kode mesin yang tidak normal dan mengeksekusinya di level. Kernel .
Perlu dicatat itu Ini bukan satu-satunya kerentanan di subsistem eBPF yang diketahui dalam beberapa tahun terakhir, karena pada akhir Maret, dua kerentanan lainnya teridentifikasi di kernel (CVE-2020-27170, CVE-2020-27171), yang memberikan kemampuan untuk menggunakan eBPF untuk melewati perlindungan terhadap kerentanan kelas Specter, yang memungkinkan konten memori kernel ditentukan dan yang menghasilkan penciptaan kondisi untuk eksekusi spekulatif dari operasi tertentu.
Serangan momok membutuhkan kehadiran urutan perintah tertentu dalam kode hak istimewa, yang mengarah pada eksekusi spekulatif dari instruksi. Di eBPF, beberapa cara telah ditemukan untuk menghasilkan instruksi tersebut melalui manipulasi dengan program BPF yang dikirimkan untuk pelaksanaannya.
- Kerentanan CVE-2020-27170 disebabkan oleh manipulasi penunjuk di pemeriksa BPF, yang menyebabkan operasi spekulatif mengakses area di luar buffer.
- Kerentanan CVE-2020-27171 terkait dengan bug underflow integer saat bekerja dengan pointer, yang mengarah ke akses spekulatif ke data di luar buffer.
Masalah ini telah diperbaiki di kernel versi 5.11.8, 5.10.25, 5.4.107, 4.19.182, dan 4.14.227, dan telah disertakan dalam pembaruan kernel untuk sebagian besar distribusi Linux. Peneliti telah menyiapkan prototipe eksploitasi yang memungkinkan pengguna yang tidak memiliki hak untuk mengambil data dari memori kernel.
Adapun salah satu solusi itu yang diusulkan dalam Red Hat adalah:
Mitigasi:
Masalah ini tidak mempengaruhi kebanyakan sistem secara default. Administrator harus mengaktifkan BPF JIT agar terpengaruh.
Itu dapat segera dinonaktifkan dengan perintah:
# echo 0 > /proc/sys/net/core/bpf_jit_enableAtau dapat dinonaktifkan untuk semua boot sistem berikutnya dengan menetapkan nilai di /etc/sysctl.d/44-bpf -jit-disable
## start file ## net.core.bpf_jit_enable=0</em> end file ##
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu tentang kerentanan ini, Anda dapat memeriksa detailnya di link berikut.
Perlu disebutkan bahwa masalah tetap ada hingga versi 5.11.12 (inklusif) dan belum diselesaikan di sebagian besar distribusi, meskipun koreksi sudah ada tersedia sebagai tambalan.