recentemente condividiamo qui sul blog le notizie sull'interesse che Microsoft ha dimostrato sul sottosistema eGMP, Dal momento che ha costruito un sottosistema per Windows che utilizza il metodo di analisi statica dell'interpretazione astratta, che, rispetto al checker eBPF per Linux, mostra un tasso di falsi positivi inferiore, supporta l'analisi del loop e fornisce una buona scalabilità.
Il metodo tiene conto di molti modelli di prestazioni tipici ottenuti dall'analisi dei programmi eBPF esistenti. Questo sottosistema eBPF è stato incluso nel kernel Linux dalla versione 3.18 e Consente di elaborare pacchetti di rete in entrata / uscita, inoltrare pacchetti, controllare la larghezza di banda, intercettare le chiamate di sistema, controllare l'accesso ed eseguire il monitoraggio.
Ed è questo a parlarne, è stato recentemente rivelato che sono state identificate due nuove vulnerabilità nel sottosistema eBPF, che consente di eseguire i driver all'interno del kernel Linux in una speciale macchina virtuale JIT.
Entrambe le vulnerabilità offrono l'opportunità di eseguire codice con diritti del kernel, all'esterno della macchina virtuale eBPF isolata.
Informazione sui problemi è stato pubblicato dal team Zero Day Initiative, che gestisce il concorso Pwn2Own, durante il quale quest'anno sono stati dimostrati tre attacchi su Ubuntu Linux, in cui sono state utilizzate vulnerabilità precedentemente sconosciute (se le vulnerabilità nell'eBPF sono legate a questi attacchi non viene segnalato).
L'eBPF ALU32 limita il tracciamento per le operazioni bit per bit (AND, OR e XOR) I limiti di 32 bit non sono stati aggiornati.
Manfred Paul (@_manfp) del team RedRocket CTF (@redrocket_ctf) che lavora con luiL'iniziativa Zero Day di Trend Micro ha scoperto che questa vulnerabilità potrebbe essere convertito in letture e scritture fuori limite nel kernel. Questa è stata segnalato come ZDI-CAN-13590 e assegnato CVE-2021-3490.
- CVE-2021-3490: La vulnerabilità è dovuta alla mancanza di verifica dei limiti per i valori a 32 bit durante l'esecuzione di operazioni AND, OR e XOR bit per bit su eBPF ALU32. Un utente malintenzionato può sfruttare questo bug per leggere e scrivere dati al di fuori dei limiti del buffer allocato. Il problema con le operazioni XOR esiste dal kernel 5.7-rc1 e AND e OR dalla 5.10-rc1.
- CVE-2021-3489: la vulnerabilità è causata da un bug nell'implementazione del ring buffer ed è correlata al fatto che la funzione bpf_ringbuf_reserve non ha verificato la possibilità che la dimensione dell'area di memoria allocata sia inferiore alla dimensione effettiva del buffer ringbuf. Il problema è stato evidente sin dal rilascio di 5.8-rc1.
Inoltre, possiamo anche osservare un'altra vulnerabilità nel kernel Linux: CVE-2021-32606, che consente a un utente locale di elevare i propri privilegi al livello root. Il problema si manifesta a partire dal kernel Linux 5.11 ed è causato da una race condition nell'implementazione del protocollo CAN ISOTP, che permette di modificare i parametri di binding del socket per mancanza di configurazione dei lock appropriati in isotp_setsockopt () quando il flag viene elaborato CAN_ISOTP_SF_BROADCAST.
Una volta che il file presa, ISOTP continua a legarsi al socket del ricevitore, che può continuare a utilizzare le strutture associate al socket dopo che la memoria associata è stata liberata (use-after-free a causa della chiamata della struttura isotp_calza già rilasciato quando chiamosotp_rcv(). Manipolando i dati, è possibile sovrascrivere il puntatore alla funzione sk_error_report () ed esegui il tuo codice a livello di kernel.
Lo stato delle correzioni per le vulnerabilità nelle distribuzioni può essere monitorato su queste pagine: Ubuntu, Debian, RHEL, Fedora, SUSE, Arco).
Le correzioni sono disponibili anche come patch (CVE-2021-3489 e CVE-2021-3490). Lo sfruttamento del problema dipende dalla disponibilità della chiamata al sistema eBPF per l'utente. Ad esempio, nella configurazione predefinita su RHEL, lo sfruttamento della vulnerabilità richiede che l'utente disponga dei privilegi CAP_SYS_ADMIN.
Infine se vuoi saperne di più, puoi controllare i dettagli nel seguente link