Baru-baru ini kami berbagi di sini di blog berita tentang minat yang telah ditunjukkan Microsoft tentang subsistem eGMP, Karena telah membangun subsistem untuk Windows yang menggunakan metode analisis statis interpretasi abstrak, yang, dibandingkan dengan pemeriksa eBPF untuk Linux, menunjukkan tingkat positif palsu yang lebih rendah, mendukung analisis loop, dan menyediakan skalabilitas yang baik.
Metode ini memperhitungkan banyak pola kinerja tipikal yang diperoleh dari analisis program eBPF yang ada. Subsistem eBPF ini telah disertakan dalam kernel Linux sejak versi 3.18 dan Ini memungkinkan Anda untuk memproses paket jaringan masuk / keluar, meneruskan paket, mengontrol bandwidth, mencegat panggilan sistem, mengontrol akses, dan pemantauan.
Dan apakah itu membicarakannya, baru-baru ini terungkap bahwa dua kerentanan baru telah diidentifikasi di subsistem eBPF, yang memungkinkan Anda menjalankan driver di dalam kernel Linux di mesin virtual JIT khusus.
Kedua kerentanan tersebut memberikan kesempatan untuk menjalankan kode dengan hak kernel, di luar mesin virtual eBPF yang terisolasi.
Informasi tentang masalah diterbitkan oleh tim Zero Day Initiative, yang menjalankan kompetisi Pwn2Own, selama tahun ini tiga serangan di Ubuntu Linux didemonstrasikan, di mana kerentanan yang sebelumnya tidak diketahui digunakan (jika kerentanan di eBPF terkait dengan serangan ini, tidak dilaporkan).
Ditemukan bahwa eBPF ALU32 membatasi pelacakan untuk operasi bitwise (AND, OR dan XOR) batas 32-bit tidak diperbarui.
Manfred Paul (@_manfp) dari tim CTF RedRocket (@redrocket_ctf) bekerja dengannyaInisiatif Zero Day dari Trend Micro menemukan kerentanan ini itu bisa diubah menjadi pembacaan dan penulisan di luar batas di kernel. Ini telah terjadi dilaporkan sebagai ZDI-CAN-13590 dan menggunakan CVE-2021-3490.
- CVE-2021-3490: Kerentanan ini disebabkan oleh kurangnya verifikasi di luar batas untuk nilai 32-bit saat menjalankan operasi bitwise AND, OR dan XOR pada eBPF ALU32. Penyerang dapat memanfaatkan bug ini untuk membaca dan menulis data di luar batas buffer yang dialokasikan. Masalah dengan operasi XOR telah ada sejak kernel 5.7-rc1, dan AND dan OR sejak 5.10-rc1.
- CVE-2021-3489: Kerentanan ini disebabkan oleh bug dalam implementasi buffer ring dan terkait dengan fakta bahwa fungsi bpf_ringbuf_reserve tidak memeriksa kemungkinan bahwa ukuran area memori yang dialokasikan lebih kecil dari ukuran sebenarnya dari buffer ringbuf. Masalahnya telah terbukti sejak rilis 5.8-rc1.
Selain itu, kami juga dapat mengamati kerentanan lain di kernel Linux: CVE-2021-32606, yang memungkinkan pengguna lokal untuk meningkatkan hak istimewanya ke tingkat akar. Masalah memanifestasikan dirinya sejak kernel Linux 5.11 dan disebabkan oleh kondisi balapan dalam implementasi protokol CAN ISOTP, yang memungkinkan untuk mengubah parameter pengikatan soket karena kurangnya konfigurasi kunci yang tepat di isotp_setsockopt () saat bendera diproses CAN_ISOTP_SF_BROADCAST.
Setelah soket, ISOTP terus mengikat ke soket penerima, yang dapat terus menggunakan struktur yang terkait dengan soket setelah memori terkait dibebaskan (gunakan setelah bebas karena pemanggilan struktur isotp_sock sudah dirilis ketika saya meneleponsotp_rcv(). Dengan memanipulasi data, Anda dapat mengganti penunjuk ke fungsi tersebut sk_error_report () dan jalankan kode Anda di level kernel.
Status perbaikan kerentanan dalam distribusi dapat dilacak di halaman berikut: Ubuntu, Debian, RHEL, Fedora, SUSE, Lengkungan).
Perbaikan juga tersedia sebagai tambalan (CVE-2021-3489 dan CVE-2021-3490). Eksploitasi masalah tergantung pada ketersediaan panggilan ke sistem eBPF untuk pengguna. Misalnya, dalam pengaturan default di RHEL, mengeksploitasi kerentanan mengharuskan pengguna memiliki hak istimewa CAP_SYS_ADMIN.
Akhirnya jika Anda ingin tahu lebih banyak tentang itu, Anda dapat memeriksa detailnya Di tautan berikut.