며칠 전 뉴스가 나왔다. Netfilter에서 취약점이 확인되었습니다. (네트워크 패킷을 필터링하고 수정하는 데 사용되는 Linux 커널 하위 시스템), 로컬 사용자가 루트 권한을 얻을 수 있습니다. 시스템에서절연 용기에 있는 동안에도.
CVE-2021-22555 취약성 커널 2.6.19 이후로 발생했던 문제입니다., 15년 전에 출시되었으며 현재 드라이버의 버그로 인한 IPT_SO_SET_REPLACE 및 IP6T_SO_SET_REPLACE, 이것은 compat 모드에서 setsockopt 호출을 통해 특별히 장식된 매개변수를 보낼 때 버퍼 오버플로우를 일으킵니다.
아마도 이 시점에서 많은 사람들은 Linux 커널의 결함이 어떻게 그렇게 오랫동안 눈에 띄지 않을 수 있는지 궁금해 할 것입니다. 이에 대한 대답은 Linux 2.6.19 이후에 존재했지만 취약점은 코드를 통해 발견되었다는 것입니다. 감사에서 C 코드는 재현할 수 없었지만 당시 권한을 상승시키는 데 필요한 리소스를 찾을 수 없었기 때문에 악용할 수 없었습니다.
예를 들어 권한이 없는 사용자 네임스페이스에 대한 지원은 커널 3.8에 있습니다. 또한 일부 배포판에는 권한이 없는 사용자 네임스페이스를 비활성화하기 위해 sysctl을 추가하는 패치가 있습니다.
정상적인 상황에서는 루트 사용자만 compat_setsockopt()를 호출할 수 있습니다., 그러나 필요한 권한 공격을 수행하다 권한이 없는 사용자도 얻을 수 있습니다. 사용자 네임스페이스가 활성화된 시스템에서.
CVE-2021-22555는 모든 최신 보안 완화를 우회하고 커널 코드 실행을 달성하기에 충분히 강력한 Linux Netfilter의 15년 된 스택 아웃 오브 스택 쓰기 취약점입니다.
이와 같이 기술된다. 로컬 사용자는 별도의 루트 사용자로 컨테이너를 생성하고 거기에서 취약점을 악용할 수 있습니다.나는. 예를 들어 "사용자 네임스페이스"는 Ubuntu 및 Fedora에 기본적으로 포함되지만 Debian 및 RHEL에는 포함되지 않습니다.
이 취약점은 부분적으로 덮어쓰기하여 악용될 수 있습니다.
m_list->next바늘msg_msg구조 및 사용 후 무료 달성. 이것은 KASLR, SMAP 및 SMEP를 우회하여 커널 코드를 실행하기에 충분히 강력합니다.
또한 32비트에서 64비트 표현으로 변환한 후 커널 구조를 저장할 때 잘못된 메모리 크기 계산으로 인해 xt_compat_target_from_user() 함수에서 문제가 발생합니다.
따라서 다음과 같이 언급됩니다. 오류는 버퍼 외부의 모든 위치에 XNUMX개의 "XNUMX" 바이트를 쓸 수 있습니다. 할당됨, 오프셋 0x4C로 제한됨. 이 때문에 언급된다. 이 기능은 익스플로잇을 만들기에 충분했습니다. 루트 권한 획득 가능: msg_msg 구조에서 m_list-> 다음 포인터를 삭제하여 메모리를 확보한 후 데이터에 액세스할 수 있는 조건을 생성(use-after-free)한 다음 이를 사용하여 주소 및 변경 사항에 대한 정보를 얻습니다. msgsnd() 시스템 호출을 조작하여 다른 구조에.
오류 보고서에 관해서는 발견된 모든 취약점과 마찬가지로 XNUMX월에 커널 개발자에게 제출된 프로세스 및 보고서가 포함되며, 이후 며칠 만에 수정되었으며 지원되는 모든 배포판에 포함된 패치가 포함됩니다. 버그에 대한 정보는 나중에 공개될 수 있습니다.
Debian, Arch Linux 및 Fedora 프로젝트는 이미 패키지 업데이트를 생성했습니다. Ubuntu부터 RHEL 및 SUSE 업데이트가 진행 중입니다. 오류가 심각하기 때문에 실제로 악용될 수 있습니다. 컨테이너에서 탈출할 수 있도록 하고, Google은 발견을 $ 10,000로 추정하고 보상을 두 배로 늘 렸습니다. 취약점을 식별하고 kCTF 클러스터에서 Kubernetes 컨테이너를 격리하지 않는 방법을 식별한 연구원에게
테스트를 위해 익스플로잇의 작동 프로토타입이 준비되었습니다. KASLR, SMAP 및 SMEP 보호 메커니즘을 우회합니다.
최종적으로 그것에 대해 더 많이 알고 싶다면 세부 사항을 확인할 수 있습니다 다음 링크에서.