Cercetătorii Cisco Talos au fost eliberați Acum cateva zile o vulnerabilitate în nucleul Linux care poate fi exploatată pentru a fura date și servesc, de asemenea, ca mijloc de escaladare a privilegiilor și compromiterea sistemului.
Vulnerabilitate descrisă ca o „vulnerabilitate la divulgarea informațiilor ceea ce ar putea permite unui atacator să vadă memoria stivei de nucleu. '
CVE-2020-28588 este vulnerabilitatea pe care descoperit în dispozitivele ARM funcționalitatea proc / pid / syscall Dispozitive pe 32 de biți care rulează sistemul de operare. Potrivit Cisco Talos, problema a fost descoperită mai întâi pe un dispozitiv care rulează Azure Sphere.
Există o vulnerabilitate de divulgare a informațiilor în funcționalitatea / proc / pid / syscall a Linux Kernel 5.1 Stable și 5.4.66. Mai precis, această problemă a fost introdusă în v5.1-rc4 (confirmă 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) și este încă prezentă în v5.10-rc4, deci este posibil ca toate versiunile intermediare să fie afectate. Un atacator poate citi / proc / pid / syscall pentru a activa această vulnerabilitate, determinând pierderea conținutului de memorie al nucleului.
Proc este un pseudo-sistem de fișiere special pe sisteme de operare asemănătoare Unix care utilizate pentru a accesa dinamic datele procesului găsit în nucleu. Prezintă informații de proces și alte informații de sistem într-o structură ierarhică, asemănătoare fișierelor.
De exemplu, conține subdirectoare / proc / [pid], fiecare dintre acestea conținând fișiere și subdirectoare care expun informații despre procese specifice, lizibile folosind ID-ul procesului corespunzător. În cazul fișierului „syscall”, este un fișier legitim al sistemului de operare Linux care conține jurnale ale apelurilor de sistem utilizate de kernel.
Pentru companie, lHackerii ar putea exploata defectul și ar putea accesa sistemul de operare și fișierul syscall printr-un sistem folosit pentru a interacționa între structurile de date ale nucleului, Proc. Intrarea syscall procfs ar putea fi exploatată dacă hackerii emit comenzi pentru a genera 24 de octeți de memorie heap neinițializată, ducând la o ocolire a randomizării aspectului spațiului de adresă al nucleului (KASLR).
Privind această funcție specifică, totul arată bine, dar merită remarcat faptul că
args
parametrul trecut a venit de laproc_pid_syscall
funcția și ca atare este de fapt de tip__u64 args
. Într-un sistem ARM, definiția funcției convertește dimensiunea fișieruluiarg
matrice în elemente de patru octeți de la opt octeți (din moment ceunsigned long
în ARM sunt 4 octeți), ceea ce are ca rezultatmemcpy
este copiat în 20 de octeți (plus 4 pentruargs[0]
).În mod similar, pentru i386, unde
unsigned long
sunt doar 4 octețiargs
se scriu primii 24 de octeți ai argumentului, lăsând restul de 24 de octeți intacti.În ambele cazuri, dacă ne uităm înapoi la
proc_pid_syscall
funcţie.În timp ce în ARM pe 32 de biți și i386 copiem doar 24 de octeți în
args
matrice, șirul de format ajunge să citească 48 de octeți dinargs
matrice, din moment ce%llx
Șirul format este de opt octeți pe sistemele pe 32 și 64 de biți. Deci, 24 de octeți de memorie heap neinițializată ajung să obțină ieșiri, ceea ce ar putea duce la un bypass KASLR.
Cercetătorii afirmă că acest atac este „imposibil de detectat de la distanță în rețea” deoarece citește un fișier legitim din sistemul de operare Linux. „Dacă este utilizat corect, un hacker ar putea profita de această scurgere de informații pentru a exploata cu succes alte vulnerabilități Linux neperfectate”, spune Cisco.
În acest sens, Google a spus recent:
„Defectele de securitate ale memoriei amenință adesea securitatea dispozitivelor, în special a aplicațiilor și a sistemelor de operare. De exemplu, în sistemul de operare mobil Android suportat și de kernel-ul Linux, Google spune că a constatat că mai mult de jumătate din vulnerabilitățile de securitate abordate în 2019 au fost rezultatul unor bug-uri de securitate a memoriei.
Ultimul, dar nu cel din urmă Se recomandă actualizarea versiunilor 5.10-rc4, 5.4.66, 5.9.8 ale kernel-ului Linux, deoarece Această vulnerabilitate a fost testată și confirmată pentru a putea exploata următoarele versiuni ale kernel-ului Linux.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta Despre postare, puteți verifica detaliile în următorul link.