彼らは、情報の盗難を可能にする可能性のあるカーネルの脆弱性を検出しました

Darkcrizt

4分

CiscoTalosの研究者がリリース 数日前 データを盗むために悪用される可能性のあるLinuxカーネルの脆弱性 また、特権を昇格させ、システムを危険にさらす手段としても機能します。

脆弱性 '情報開示の脆弱性として説明されています これにより、攻撃者はカーネルスタックのメモリを見ることができます。

CVE-2020-28588は、 ARMデバイスで発見されたproc / pid / syscall機能 オペレーティングシステムを実行する32ビットデバイス。 Cisco Talosによると、この問題はAzureSphereを実行しているデバイスで最初に発見されました。

Linux Kernel 5.1Stableおよび5.4.66の/ proc / pid / syscall機能に情報開示の脆弱性が存在します。 より具体的には、この問題はv5.1-rc4(631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0をコミット)で導入され、v5.10-rc4でも引き続き存在するため、すべての中間バージョンが影響を受ける可能性があります。 攻撃者は/ proc / pid / syscallを読み取ってこの脆弱性をアクティブにし、カーネルのメモリコンテンツを失う可能性があります。

Procは特別な疑似ファイルシステムです Unixライクなオペレーティングシステムで プロセスデータに動的にアクセスするために使用されます カーネルで見つかりました。 プロセス情報およびその他のシステム情報を、階層的なファイルのような構造で表示します。

たとえば、サブディレクトリ/ proc / [pid]が含まれ、各サブディレクトリには、対応するプロセスIDを使用して読み取り可能な、特定のプロセスに関する情報を公開するファイルとサブディレクトリが含まれます。 「syscall」ファイルの場合、カーネルが使用するシステムコールのログを含む正規のLinuxオペレーティングシステムファイルです。

会社の場合、lハッカーはこの欠陥を悪用して、オペレーティングシステムとシステムコールファイルにアクセスする可能性があります カーネルデータ構造間の相互作用に使用されるシステムを介して、Proc。 ハッカーが24バイトの初期化されていないヒープメモリを生成するコマンドを発行すると、syscall procfsエントリが悪用され、カーネルアドレス空間配置のランダム化(KASLR)がバイパスされる可能性があります。

この特定の機能を見ると、すべてが正常に見えますが、 args渡されたパラメータはから来ました proc_pid_syscall関数などは実際にはタイプです __u64 args。 ARMシステムでは、関数定義はサイズを変換します argXNUMXバイトからXNUMXバイト要素の配列(以降 unsigned longARMでは4バイトです)、その結果、 memcpy20バイトにコピーされます(プラス4 args[0]).

同様に、i386の場合、 unsigned longそれは4バイトです args引数の最初の24バイトが書き込まれ、残りの24バイトはそのまま残ります。

どちらの場合も、振り返ってみると proc_pid_syscall関数。

32ビットARMおよびi386では、24バイトのみをコピーします。 args配列の場合、フォーマット文字列は最終的に48バイトの args行列、 %llxフォーマット文字列は、32ビットおよび64ビットシステムでは24バイトです。 したがって、XNUMXバイトの初期化されていないヒープメモリが出力を取得することになり、KASLRバイパスが発生する可能性があります。

研究者は次のように述べています この攻撃は「ネットワーク上でリモートで検出することは不可能」です 正当なLinuxオペレーティングシステムファイルから読み取っているからです。 「正しく使用されれば、ハッカーはこの情報漏えいを利用して、パッチが適用されていない他のLinuxの脆弱性を悪用する可能性があります」とCiscoは言います。

この点で、グーグルは最近言った:

「メモリセキュリティの欠陥は、デバイス、特にアプリケーションやオペレーティングシステムのセキュリティを脅かすことがよくあります。 たとえば、LinuxカーネルでもサポートされているAndroidモバイルオペレーティングシステムでは、2019年に対処されたセキュリティの脆弱性の半分以上がメモリセキュリティのバグの結果であることがわかったとGoogleは述べています。

最後だが大事なことは Linuxカーネルのバージョン5.10-rc4、5.4.66、5.9.8を更新することをお勧めします。 この脆弱性はテストされ、次のバージョンのLinuxカーネルを悪用できることが確認されています。

最後に あなたがそれについてもっと知りたいのなら 投稿については、 次のリンク。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。