Neseniai „Qualys“ saugumo tyrėjai (debesijos saugumo, atitikties ir susijusių paslaugų įmonė) paskelbė išsamią informaciją apie pažeidžiamumą ką jie aptiko ir ką jie veikia „Linux“ branduolį.
CVE-2021-33909 veikia branduolį ir leidžia vietiniam vartotojui pasiekti kodo vykdymą ir eskaluoti privilegijas manipuliuojant labai įdėtais katalogais.
Pažeidžiamumas kyla dėl to, kad nėra patvirtinta „size_t“ pavertimo į „int“ tipo rezultatas prieš atlikdami operacijas su kodu seq_file, kuris sukuria failus iš įrašų sekos. Trūkstant patvirtinimo, gali būti parašyta į sritį, esančią už buferio ribų, kuriant, montuojant ir numetant katalogo struktūrą su labai aukštu lizdo lygiu (kelio dydis didesnis nei 1 GB).
Bet kuris neprivilegijuotas vartotojas gali gauti pažeidžiamo kompiuterio pagrindines teises naudodamasis šia spraga numatytojoje konfigūracijoje.
Dėl to užpuolikas gali gauti 10 baitų eilutę "// ištrinta" su poslinkiu "- 2 GB - 10 baitų", nurodant plotą prieš pat skirtą buferį.
Pažeidžiamumo grėsmę papildo tai, kad tyrėjai sugebėjo paruošti funkcinius išnaudojimus „Ubuntu 20.04“, „Debian 11“ ir „Fedora 34“ numatytuosiuose nustatymuose. Pažymima, kad kiti paskirstymai nebuvo išbandyti, tačiau teoriškai jie taip pat yra jautrūs problemai ir gali būti užpulti.
Sėkmingas šio pažeidžiamumo naudojimas leidžia bet kuriam neprivilegijuotam vartotojui gauti pagrindines privilegijas pažeidžiamam pagrindiniam kompiuteriui. „Qualys“ saugumo tyrėjai sugebėjo savarankiškai patikrinti pažeidžiamumą, išplėsti išnaudojimą ir gauti visas pagrindines privilegijas numatytuosiuose „Ubuntu 20.04“, „Ubuntu 20.10“, „Ubuntu 21.04“, „Debian 11“ ir „Fedora 34 Workstation“ įrenginiuose. Kiti „Linux“ paskirstymai greičiausiai yra pažeidžiami ir tikriausiai išnaudojami.
Eksploatacijos darbas sukuria maždaug milijono katalogų hierarchiją įdėtas per mkdir () skambutį kad failo kelias būtų didesnis nei 1 GB.
Šis katalogas yra „mount-mount“, sumontuotas atskiroje vartotojo vardų srityje, po kurio paleidžiama funkcija „rmdir“ (). Lygiagrečiai sukuriama gija, įkelianti mažą eBPF programą, kuri pakimba scenoje patikrinus eBPF pseudokodą, bet prieš jo JIT kompiliavimą.
Neprivilegijuotoje vartotojo ID vardų srityje atidaromas failas / proc / self / mountinfo ir nuskaito ilgą katalogo kelią, sumontuotą su „bind-mount“, todėl eilutė „// ištrinta“ buvo parašyta regione prieš buferio pradžią. Eilutės rašymo vieta parenkama taip, kad ji perrašytų instrukciją jau išbandytoje, bet dar nesudarytoje eBPF programoje.
Be to, eBPF programos lygiu nekontroliuojamas išrašymas iš buferio paverčiamas skaitymo / rašymo galimybe valdomas kitose branduolio struktūrose, manipuliuojant btf ir map_push_elem struktūromis.
Tada išnaudojimas įdeda buferį modprobe_path [] į branduolio atmintį ir perrašo jame kelią "/ sbin / modprobe", leidžiantį paleisti bet kurį vykdomąjį failą kaip root, jei atliekamas request_module () iškvietimas, kuris vykdomas, pavyzdžiui, kuriant netlink lizdas ...
Mokslininkai pateikė keletą sprendimų, kurie yra veiksmingi tik konkrečiam išnaudojimui, tačiau jie neišsprendžia pačios problemos.
Rekomenduojama nustatyti parametrą "/ proc / sys / kernel / neprivileged_userns_clone" į 0, kad būtų išjungtas katalogų montavimas atskiroje vartotojo vardų srityje, o "/ proc sys / kernel / neprivileged_bpf_disabled" į 1, jei norite išjungti eBPF programas. į branduolį.
Be to, kad visiems „Linux“ platinimo vartotojams taip pat rekomenduojama atnaujinti savo sistemą, kad būtų atitinkamas pleistras. Problema buvo akivaizdi nuo 2014 m. Liepos mėn ir tai veikia branduolio versijas nuo 3.16. Pažeidžiamumo pleistras buvo suderintas su bendruomene ir priimtas branduolyje liepos 19 d.
Galiausiai, jei norite sužinoti daugiau apie tai, galite kreiptis į išsami informacija šioje nuorodoje.