La notizia lo ha recentemente diffuso identificato una nuova vulnerabilità (già catalogato sotto CVE-2021-4204) nel sottosistema eBPF (per cambiare) ...
Ed è che il sottosistema eBPF non ha cessato di essere un grosso problema di sicurezza per il Kernel perché facilmente in tutto il 2021 sono state divulgate due vulnerabilità al mese e di cui ne parliamo alcune qui nel blog.
Per quanto riguarda i dettagli del problema attuale, si menziona che la vulnerabilità rilevata consente a un driver di essere eseguito all'interno del kernel Linux in una macchina virtuale JIT speciale e che a sua volta consente a un utente locale senza privilegi di aumentare i privilegi ed eseguire il proprio codice a livello di kernel.
Nella descrizione del problema, lo menzionano la vulnerabilità è dovuta alla scansione impropria dei programmi eBPF trasmessi per l'esecuzione, poiché il sottosistema eBPF fornisce funzioni ausiliarie la cui correttezza è verificata da un apposito verificatore.
Questa vulnerabilità consente agli aggressori locali di aumentare i privilegi
Installazioni del kernel Linux interessate. Un attaccante deve prima ottenere il
capacità di eseguire codice con privilegi bassi sul sistema di destinazione
sfruttare questa vulnerabilità.Il difetto specifico esiste nella gestione dei programmi eBPF. La domanda risultati dalla mancanza di un'adeguata convalida dei programmi eBPF forniti dall'utente prima di eseguirli.
A parte quello, alcune delle funzioni richiedono che il valore PTR_TO_MEM venga passato come argomento e il verificatore deve conoscere la dimensione della memoria associata all'argomento per evitare potenziali problemi di buffer overflow.
Mentre per le funzioni bpf_ringbuf_submit e bpf_ringbuf_discard, i dati sulla dimensione della memoria trasferita non vengono segnalati al verificatore (è qui che inizia il problema), che l'attaccante sfrutta per essere in grado di utilizzare per sovrascrivere aree di memoria al di fuori del limite del buffer durante l'esecuzione di codice eBPF appositamente predisposto.
Un utente malintenzionato può sfruttare questa vulnerabilità per aumentare i privilegi ed eseguire codice nel contesto del kernel. NOTA che bpf senza privilegi è disabilitato per impostazione predefinita sulla maggior parte delle distribuzioni.
Si dice che affinché un utente esegua un attacco, l'utente deve essere in grado di caricare il tuo programma BPF e molte recenti distribuzioni Linux lo bloccano per impostazione predefinita (incluso l'accesso non privilegiato a eBPF è ora vietato per impostazione predefinita nel kernel stesso, a partire dalla versione 5.16).
Ad esempio, si dice che la vulnerabilità può essere sfruttato nella configurazione di default in una distribuzione ancora abbastanza utilizzata e soprattutto molto popolare così com'è Ubuntu 20.04 LTS, ma in ambienti come Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 e Fedora 33, si manifesta solo se l'amministratore ha impostato il parametro kernel.unprivileged_bpf_disabled a 0.
Attualmente, come soluzione alternativa per bloccare la vulnerabilità, è possibile impedire agli utenti non privilegiati di eseguire programmi BPF eseguendo il comando in un terminale:
sysctl -w kernel.unprivileged_bpf_disabled=1
Infine, va detto che il problema è apparso dal kernel Linux 5.8 e rimane senza patch (compresa la versione 5.16) ed è per questo il codice exploit verrà ritardato di 7 giorni e sarà pubblicato alle 12:00 UTC, ovvero il 18 gennaio 2022.
Con esso ha lo scopo di dare abbastanza tempo per rendere disponibili le patch correttive degli utenti delle diverse distribuzioni Linux all'interno dei canali ufficiali di ciascuna di queste e sia gli sviluppatori che gli utenti possono correggere tale vulnerabilità.
Per coloro che sono interessati a poter conoscere lo stato della formazione degli aggiornamenti con l'eliminazione del problema in alcune delle principali distribuzioni, dovrebbero sapere che possono essere rintracciati da queste pagine: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch.
Se si interessati a saperne di più sulla nota, puoi consultare la dichiarazione originale nel seguente link