nylig viktig informasjon om identifikasjon av en sårbarhet (oppført som CVE-2021-27365) i iSCSI-delsystemkoden Linux-kjernen som tillater en uprivilegert lokal bruker å kjøre kode på kjernenivå og få root-rettigheter på systemet.
Problemet er forårsaket av en feil i funksjonen til libiscsi-modulen iscsi_host_get_param (), introdusert tilbake i 2006 under utviklingen av iSCSI-delsystemet. På grunn av mangel på riktige dimensjoneringskontroller, kan noen iSCSI-strengattributter, for eksempel vertsnavn eller brukernavn, overstige PAGE_SIZE (4KB) -verdien.
Sårbarheten kan utnyttes ved å sende Netlink-meldinger av en uprivilegert bruker som setter iSCSI-attributter til verdier som er større enn PAGE_SIZE. Når du leser attributtdata gjennom sysfs eller seqfs, kalles koden for å overføre attributtene til sprintf slik at de kopieres til en buffer som er PAGE_SIZE i størrelse.
Det spesielle delsystemet det er snakk om er SCSI (Small Computer System Interface) datatransport, som er en standard for overføring av data laget for å koble datamaskiner til eksterne enheter, opprinnelig via en fysisk kabel, for eksempel harddisker. SCSI er en ærverdig standard som opprinnelig ble utgitt i 1986 og var gullstandarden for serverkonfigurasjoner, og iSCSI er i utgangspunktet SCSI over TCP. SCSI brukes fortsatt i dag, spesielt i visse lagringssituasjoner, men hvordan blir dette en angrepsflate på et standard Linux-system?
Utnytte sårbarhet i distribusjonene avhenger av støtte for autolading av kjernemodul scsi_transport_iscsi når du prøver å opprette en NETLINK_ISCSI-kontakt.
I distribusjoner der denne modulen lastes automatisk, kan angrepet utføres uavhengig av bruk av iSCSI-funksjonalitet. Samtidig, for å lykkes med utnyttelsen, kreves det i tillegg registrering av minst en iSCSI-transport. For å registrere en transport kan du igjen bruke ib_iser-kjernemodulen, som lastes automatisk når en uprivilegert bruker prøver å opprette en NETLINK_RDMA-kontakt.
Automatisk lasting av moduler som kreves for å bruke exploit støtter CentOS 8, RHEL 8 og Fedora ved å installere rdma-core-pakken på systemet, som er en avhengighet for noen populære pakker og er installert som standard i konfigurasjoner for arbeidsstasjoner, serversystemer med GUI og virtualisering av vertsmiljøer.
Samtidig er ikke rdma-core installert når du bruker en serverbygging som bare fungerer i konsollmodus og når du installerer et minimalt installasjonsbilde. For eksempel er pakken inkludert i basis Fedora 31 arbeidsstasjonsdistribusjon, men ikke inkludert i Fedora 31 Server.
Debian og Ubuntu er mindre utsatt for problemetda rdma-core-pakken bare laster inn kjernemodulene som trengs for et angrep hvis RDMA-maskinvare er tilgjengelig. Imidlertid inkluderer Ubuntu-pakken på serversiden open-iscsi-pakken, som inkluderer /lib/modules-load.d/open-iscsi.conf-filen for å sikre at iSCSI-moduler lastes automatisk på hver oppstart.
En fungerende prototype av utnyttelsen er tilgjengelig for prøv på lenken nedenfor.
Sårbarheten ble løst i Linux-kjerneoppdateringer 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 og 4.4.260. Oppdateringer til kjernepakker er tilgjengelig på Debian (oldstable), Ubuntu, SUSE / openSUSE, Arch Linux og Fedora-distribusjoner, mens ingen rettelser har blitt utgitt for RHEL ennå.
Også i iSCSI-delsystemet to mindre farlige sårbarheter er løst som kan føre til kjernedatalekkasje: CVE-2021-27363 (lekket informasjon om iSCSI-transportbeskrivelse via sysfs) og CVE-2021-27364 (lesing fra en region utenfor buffergrensene).
Disse sårbarhetene kan utnyttes til å kommunisere via en nettverkskobling med iSCSI-delsystemet uten de nødvendige rettighetene. En uprivilegert bruker kan for eksempel koble til iSCSI og sende en avloggingskommando.
Fuente: https://blog.grimm-co.com