Pirms dažām dienām tika izlaistas ziņas, ka Netfilter ir konstatēta ievainojamība (Linux kodola apakšsistēma, ko izmanto tīkla pakešu filtrēšanai un modificēšanai), kura ļauj vietējam lietotājam iegūt root tiesības sistēmāpat atrodoties izolētā traukā.
CVE-2021-22555 ievainojamība tā ir problēma, kas pastāv kopš 2.6.19. kodola, kas uzsākta pirms 15 gadiem un ir ko izraisījusi kļūda draiveros IPT_SO_SET_REPLACE un IP6T_SO_SET_REPLACE, kas izraisa bufera pārplūdi, sūtot speciāli dekorētus parametrus, izmantojot setockopt izsaukumu saderīgā režīmā.
Iespējams, daudzi šajā brīdī brīnīsies, kā ir iespējams, ka Linux kodola kļūda tik ilgi var palikt nepamanīta, un atbilde uz to ir tāda, ka, lai gan trūkums, kas bija kopš Linux 2.6.19, ievainojamība tika atrasta, izmantojot kodu audits, kaut arī C kods nebija reproducējams, tāpēc to nevarēja izmantot, jo tajā laikā nebija atrasti nepieciešamie resursi privilēģiju eskalācijai.
Piemēram, atbalsts priviliģētām lietotāju nosaukumvietām atrodas 3.8 kodolā. Arī dažiem izplatījumiem ir plāksteris, kas pievieno sysctl, lai atspējotu privileģētas lietotāju vārda vietas.
Normālos apstākļos tikai saknes lietotājs var izsaukt compat_setsockopt (), bet nepieciešamās atļaujas veikt uzbrukumu tos var iegūt arī priviliģēts lietotājs sistēmās, kurās ir iespējotas lietotāju vārda vietas.
CVE-2021-22555 ir 15 gadus veca kaudze no Linux Netfilter rakstīšanas ievainojamības, kas ir pietiekami jaudīga, lai apietu visus mūsdienu drošības ierobežojumus un panāktu kodola koda izpildi.
Kā tāds ir aprakstīts vietējais lietotājs var izveidot konteineru ar atsevišķu saknes lietotāju un izmantot tur esošo ievainojamībuí. Piemēram, "lietotāju nosaukumvietas" pēc noklusējuma ir iekļautas Ubuntu un Fedora, bet ne Debian un RHEL.
Šo ievainojamību var izmantot, daļēji pārrakstot
m_list->nextrādītājsmsg_msgstruktūru un bezmaksas izmantošanu pēc lietošanas. Tas ir pietiekami jaudīgs, lai jūsu kodola kods darbotos, apejot KASLR, SMAP un SMEP.
Tāpat problēma rodas funkcijā xt_compat_target_from_user () nepareizas atmiņas lieluma aprēķināšanas dēļ, saglabājot kodola struktūras pēc pārveidošanas no 32 bitu uz 64 bitu attēlojumu.
Kā tāds tiek minēts kļūda ļauj ierakstīt četrus "nulles" baitus jebkurā pozīcijā ārpus bufera piešķirts, ierobežots ar nobīdi 0x4C. Tāpēc tiek pieminēts šī funkcija izrādījās pietiekama, lai radītu ekspluatāciju kas ļauj iegūt saknes tiesības: dzēšot m_list-> nākamo rādītāju msg_msg struktūrā, tika izveidoti nosacījumi piekļuvei datiem pēc atmiņas atbrīvošanas (use-after-free), kas pēc tam tika izmantots, lai iegūtu informāciju par adresēm un izmaiņām uz citām struktūrām, manipulējot ar sistēmas zvanu msgsnd ().
Attiecībā uz kļūdu ziņojumu, tāpat kā jebkuru atklāto ievainojamību, tas ietver procesu un ziņojumu, kas tika iesniegts kodola izstrādātājiem aprīlī, ar kuru pēc tam tas tika labots dažu dienu laikā, un plāksteris, kas ir iekļauts visos atbalstītajos izplatījumos, tāpēc šo informāciju par kļūdu var izlaist vēlāk.
Debian, Arch Linux un Fedora projekti jau ir izveidojuši pakotņu atjauninājumus. Sākot ar Ubuntu, darbojas RHEL un SUSE atjauninājumi. Tā kā kļūda ir nopietna, praksē izmantojama un ļauj izkļūt no konteinera, Google aplēsa savu atklājumu 10,000 XNUMX ASV dolāru apmērā un dubultoja atlīdzību pētniekam, kurš identificēja ievainojamību, un lai identificētu metodi, kā izvairīties no Kubernetes konteineru izolēšanas kCTF klasterī.
Testēšanai ir sagatavots darbojošs ekspluatācijas prototips kas apiet KASLR, SMAP un SMEP aizsardzības mehānismus.
Beidzot ja jūs interesē uzzināt vairāk par to, jūs varat pārbaudīt informāciju Šajā saitē.