Baru-baru ini kami berkongsi di sini di blog berita mengenai minat yang telah ditunjukkan oleh Microsoft mengenai subsistem eGMP, Oleh kerana ia telah membina subsistem untuk Windows yang menggunakan kaedah analisis statik interpretasi abstrak, yang, dibandingkan dengan pemeriksa eBPF untuk Linux, menunjukkan kadar positif palsu yang lebih rendah, menyokong analisis gelung, dan memberikan skalabilitas yang baik.
Kaedah ini mengambil kira banyak corak prestasi khas yang diperoleh dari analisis program eBPF yang ada. Subsistem eBPF ini telah dimasukkan dalam kernel Linux sejak versi 3.18 dan Ini membolehkan anda memproses paket rangkaian masuk / keluar, paket penerusan, mengawal lebar jalur, memintas panggilan sistem, mengawal akses, dan pelacakan.
Dan adakah bercakap mengenainya, baru-baru ini dinyatakan bahawa dua kelemahan baru telah dikenal pasti dalam subsistem eBPF, yang membolehkan anda menjalankan pemacu di dalam kernel Linux dalam mesin maya JIT khas.
Kedua-dua kelemahan memberi peluang untuk menjalankan kod dengan hak kernel, di luar mesin maya eBPF terpencil.
Maklumat mengenai masalah diterbitkan oleh pasukan Zero Day Initiative, yang menjalankan pertandingan Pwn2Own, di mana tahun ini tiga serangan terhadap Ubuntu Linux ditunjukkan, di mana kerentanan yang sebelumnya tidak diketahui digunakan (jika kerentanan dalam eBPF berkaitan dengan serangan ini tidak dilaporkan).
Didapati bahawa pengesanan had eBPF ALU32 untuk operasi bitwise (AND, OR dan XOR) Had 32-bit tidak dikemas kini.
Manfred Paul (@_manfp) dari pasukan CTR RedRocket (@redrocket_ctf) bekerjasama dengannyaInisiatif Zero Day Trend Micro mendapati bahawa kelemahan ini ia boleh ditukar menjadi bacaan dan penulisan di luar kernel. Ini telah dilaporkan sebagai ZDI-CAN-13590 dan diberi CVE-2021-3490.
- CVE-2021-3490: Kerentanan ini disebabkan oleh kurangnya pengesahan di luar batas untuk nilai 32-bit ketika melakukan operasi bit, AND, OR, dan XOR di eBPF ALU32. Penyerang dapat memanfaatkan bug ini untuk membaca dan menulis data di luar had penyangga yang diperuntukkan. Masalah dengan operasi XOR telah wujud sejak kernel 5.7-rc1, dan AND dan OR sejak 5.10-rc1.
- CVE-2021-3489: Kerentanan disebabkan oleh bug dalam implementasi penyangga cincin dan berkaitan dengan fakta bahawa fungsi bpf_ringbuf_reserve tidak memeriksa kemungkinan ukuran kawasan memori yang diperuntukkan lebih kecil daripada ukuran sebenarnya penyangga ringbuf. Masalahnya telah terbukti sejak pelepasan 5.8-rc1.
Selain itu, kita juga dapat melihat kerentanan lain dalam kernel Linux: CVE-2021-32606, yang membolehkan pengguna tempatan meningkatkan keistimewaan mereka ke peringkat akar. Masalahnya muncul sejak kernel Linux 5.11 dan disebabkan oleh keadaan perlumbaan dalam pelaksanaan protokol CAN ISOTP, yang memungkinkan untuk mengubah parameter pengikat soket kerana kurangnya konfigurasi kunci yang tepat di isotp_setsockopt () semasa bendera diproses BOLEH_ISOTP_SF_BROADCAST.
Sekali soket, ISOTP terus mengikat ke soket penerima, yang dapat terus menggunakan struktur yang berkaitan dengan soket setelah cache dibebaskan (penggunaan-setelah-bebas kerana panggilan struktur isotp_sock sudah dilepaskan semasa saya menelefonsotp_rcv(). Dengan memanipulasi data, anda boleh menukar penunjuk ke fungsi sk_error_report () dan jalankan kod anda di peringkat kernel.
Status pembaikan kerentanan dalam pengedaran dapat dilacak di halaman ini: Ubuntu, Debian, RHEL, Fedora, SUSE, Arch).
Pembaikannya juga boleh didapati sebagai tambalan (CVE-2021-3489 dan CVE-2021-3490). Eksploitasi masalah bergantung pada ketersediaan panggilan sistem eBPF untuk pengguna. Sebagai contoh, dalam konfigurasi lalai pada RHEL, mengeksploitasi kerentanan memerlukan pengguna memiliki hak CAP_SYS_ADMIN.
Akhirnya jika anda ingin mengetahui lebih lanjut mengenainya, anda boleh menyemak butirannya Dalam pautan berikut.