Cisco Talos-onderzoekers vrijgegeven Paar dagen geleden een kwetsbaarheid in de Linux-kernel die kan worden misbruikt om gegevens te stelen en dienen ook als middel om privileges te escaleren en het systeem in gevaar te brengen.
Kwetsbaarheid beschreven als een 'kwetsbaarheid voor het vrijgeven van informatie' waardoor een aanvaller het geheugen van de kernelstack kan zien. '
CVE-2020-28588 is de kwetsbaarheid die ontdekt in ARM-apparaten proc / pid / syscall-functionaliteit 32-bits waarop het besturingssysteem wordt uitgevoerd. Volgens Cisco Talos werd het probleem voor het eerst ontdekt op een apparaat met Azure Sphere.
Er bestaat een beveiligingslek met betrekking tot het vrijgeven van informatie in de / proc / pid / syscall-functionaliteit van Linux Kernel 5.1 Stable en 5.4.66. Meer specifiek is dit probleem geïntroduceerd in v5.1-rc4 (commits 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) en is het nog steeds aanwezig in v5.10-rc4, dus alle tussenliggende versies zullen waarschijnlijk worden beïnvloed. Een aanvaller kan / proc / pid / syscall lezen om deze kwetsbaarheid te activeren, waardoor de kernel geheugeninhoud verliest.
Proc is een speciaal pseudo-bestandssysteem op Unix-achtige besturingssystemen die gebruikt om dynamisch toegang te krijgen tot procesgegevens gevonden in de kernel. Geeft procesinformatie en andere systeeminformatie weer in een hiërarchische, bestandsachtige structuur.
Het bevat bijvoorbeeld submappen / proc / [pid], die elk bestanden en submappen bevatten met informatie over specifieke processen, leesbaar met behulp van de bijbehorende proces-ID. In het geval van het "syscall" -bestand is het een legitiem Linux-besturingssysteem dat logboeken bevat van de systeemaanroepen die door de kernel worden gebruikt.
Voor het bedrijf, lHackers kunnen misbruik maken van de fout en toegang krijgen tot het besturingssysteem en het syscall-bestand via een systeem dat wordt gebruikt voor interactie tussen de gegevensstructuren van de kernel, Proc. Het syscall procfs-item kan worden misbruikt als hackers opdrachten geven om 24 bytes niet-geïnitialiseerd heap-geheugen te genereren, wat leidt tot een omzeiling van de randomisatie van de kerneladresruimte-indeling (KASLR).
Als je naar deze specifieke functie kijkt, ziet alles er goed uit, maar het is vermeldenswaard dat de
argsdoorgegeven parameter kwam vanproc_pid_syscallfunctie en als zodanig is eigenlijk van het type__u64 args. In een ARM-systeem converteert de functiedefinitie de grootte van hetargarray in vier-byte-elementen van acht bytes (sindsunsigned longin ARM is het 4 bytes), wat resulteert in dat inmemcpywordt gekopieerd naar 20 bytes (plus 4 voorargs[0]).Evenzo voor i386, waar
unsigned longhet is slechts 4 bytesargsde eerste 24 bytes van het argument worden geschreven, de resterende 24 bytes blijven intact.In beide gevallen, als we terugkijken op de
proc_pid_syscallfunctie.In 32-bit ARM en i386 kopiëren we slechts 24 bytes naar het
argsarray, leest de format string uiteindelijk 48 bytes van deargsmatrix, aangezien de%llxOpmaakreeks is acht bytes op 32-bits en 64-bits systemen. Dus 24 bytes niet-geïnitialiseerd heap-geheugen krijgen uiteindelijk output, wat kan leiden tot een KASLR-bypass.
Dat stellen de onderzoekers deze aanval is 'onmogelijk op afstand op een netwerk te detecteren' omdat het een legitiem bestand van het Linux-besturingssysteem leest. "Indien correct gebruikt, kan een hacker misbruik maken van dit informatielek om met succes misbruik te maken van andere niet-gepatchte Linux-kwetsbaarheden", zegt Cisco.
In dit verband zei Google onlangs:
“Gebreken in de geheugenbeveiliging vormen vaak een bedreiging voor de beveiliging van apparaten, met name applicaties en besturingssystemen. In het mobiele Android-besturingssysteem dat ook wordt ondersteund door de Linux-kernel, zegt Google bijvoorbeeld te hebben ontdekt dat meer dan de helft van de beveiligingsproblemen die in 2019 werden aangepakt, het resultaat waren van geheugenbeveiligingsfouten.
Tenslotte Het wordt aanbevolen om versies 5.10-rc4, 5.4.66, 5.9.8 van de Linux-kernel bij te werken, aangezien Deze kwetsbaarheid is getest en bevestigd om misbruik te kunnen maken van de volgende versies van de Linux-kernel.
Eindelijk als u er meer over wilt weten Over het bericht kunt u de details in het volgende link.