Een paar dagen geleden kwam het nieuws naar buiten dat er is een kwetsbaarheid vastgesteld in Netfilter (een Linux-kernelsubsysteem dat wordt gebruikt om netwerkpakketten te filteren en te wijzigen), wat: stelt een lokale gebruiker in staat rootrechten te verkrijgen in een systeemzelfs in een geïsoleerde container.
De kwetsbaarheid van CVE-2021-22555 het is een probleem dat al bestaat sinds kernel 2.6.19, 15 jaar geleden gelanceerd en is veroorzaakt door een bug in de stuurprogramma's IPT_SO_SET_REPLACE en IP6T_SO_SET_REPLACE, wat een bufferoverloop veroorzaakt bij het verzenden van speciaal ingerichte parameters via de setsockopt-aanroep in compat-modus.
Misschien zullen velen zich op dit moment afvragen hoe het mogelijk is dat een fout in de Linux-kernel zo lang onopgemerkt kon blijven en het antwoord daarop is dat hoewel de fout die aanwezig was sinds Linux 2.6.19, de kwetsbaarheid werd gevonden via code audit, ook al was de C-code niet reproduceerbaar, dus het kon niet worden misbruikt omdat de nodige middelen om de privileges te escaleren op dat moment niet waren gevonden.
Ondersteuning voor onbevoegde gebruikersnaamruimten is bijvoorbeeld in kernel 3.8. Sommige distributies hebben ook een patch die sysctl toevoegt om onbevoegde gebruikersnaamruimten uit te schakelen.
Onder normale omstandigheden kan alleen de rootgebruiker compat_setsockopt () aanroepenMaar de benodigde toestemmingen een aanval uitvoeren ze kunnen ook worden verkregen door een onbevoegde gebruiker op systemen waarop gebruikersnaamruimten zijn ingeschakeld.
CVE-2021-22555 is een 15 jaar oude stack out-of-stack schrijfkwetsbaarheid in Linux Netfilter die krachtig genoeg is om alle moderne beveiligingsmaatregelen te omzeilen en uitvoering van kernelcode te bewerkstelligen.
Als zodanig wordt beschreven dat een lokale gebruiker kan een container maken met een afzonderlijke rootgebruiker en de kwetsbaarheid van daaruit misbruikenI. "Gebruikersnaamruimten" zijn bijvoorbeeld standaard opgenomen in Ubuntu en Fedora, maar niet in Debian en RHEL.
Dit beveiligingslek kan worden misbruikt door het gedeeltelijk overschrijven van de
m_list->nextwijzermsg_msgstructuur en het bereiken van een gratis na gebruik. Dit is krachtig genoeg om je kernelcode te laten werken zonder KASLR, SMAP en SMEP.
Er doet zich ook een probleem voor in de functie xt_compat_target_from_user () vanwege een onjuiste berekening van de geheugengrootte bij het opslaan van kernelstructuren na conversie van 32-bits naar 64-bits weergave.
Als zodanig wordt dat genoemd door de fout kunnen vier "nul" bytes worden geschreven naar elke positie buiten de buffer toegewezen, beperkt door offset 0x4C. Daarom wordt vermeld dat: deze functie bleek voldoende te zijn om een exploit te maken waarmee rootrechten kunnen worden verkregen: door de m_list-> next pointer in de msg_msg-structuur te verwijderen, werden de voorwaarden voor toegang tot de gegevens na het vrijmaken van geheugen gecreëerd (use-after-free), die vervolgens werd gebruikt om informatie over adressen en wijzigingen te verkrijgen naar andere structuren door de systeemaanroep msgsnd () te manipuleren.
Wat betreft het foutenrapport, zoals elke gedetecteerde kwetsbaarheid, betreft dit een proces en het rapport dat in april aan de kernelontwikkelaars is gemaakt, waarmee het daarna in een paar dagen is gecorrigeerd en de patch die is opgenomen in alle ondersteunde distributies, dus dat informatie over de bug later kan worden vrijgegeven.
De projecten van Debian, Arch Linux en Fedora hebben al pakketupdates gegenereerd. Vanaf Ubuntu zijn RHEL- en SUSE-updates in de maak. Omdat de fout ernstig is, in de praktijk te misbruiken en laat ontsnappen uit de container, Google schatte zijn ontdekking op $ 10,000 en verdubbelde de beloning aan de onderzoeker die de kwetsbaarheid heeft geïdentificeerd en voor het identificeren van een methode om te voorkomen dat Kubernetes-containers op het kCTF-cluster worden geïsoleerd.
Voor het testen is een werkend prototype van een exploit gemaakt die de KASLR-, SMAP- en SMEP-beveiligingsmechanismen omzeilt.
Eindelijk als u er meer over wilt weten, u kunt de details controleren In de volgende link.