Recent, vestea a spus asta a identificat o nouă vulnerabilitate (listat deja sub CVE-2021-4204) în subsistemul eBPF (pentru o schimbare) ...
Și este că subsistemul eBPF nu a încetat să fie o mare problemă de securitate pentru Kernel pentru că cu ușurință în ceea ce a fost tot 2021 au fost dezvăluite două vulnerabilități pe lună și despre care vorbim despre unele dintre ele aici pe blog.
În ceea ce privește detaliile problemei actuale, se menționează că vulnerabilitatea detectată permite unui driver să ruleze în interiorul nucleului Linux într-o mașină virtuală JIT specială și că aceasta, la rândul său, permite unui utilizator local neprivilegiat să obțină escaladarea privilegiilor și să-și execute codul la nivel de kernel.
În descrierea problemei, ei menționează că vulnerabilitatea se datorează scanării incorecte a programelor eBPF transmise pentru execuție, deoarece subsistemul eBPF oferă funcții auxiliare, a căror corectitudine este verificată de un verificator special.
Această vulnerabilitate permite atacatorilor locali să mărească privilegiile
instalațiile nucleului Linux afectate. Un atacator trebuie mai întâi să obțină
capacitatea de a rula cod cu privilegii reduse pe sistemul țintă
exploatează această vulnerabilitate.Defectul specific există în gestionarea programelor eBPF. Intrebarea rezultă din lipsa validării adecvate a programelor eBPF furnizate de utilizator înainte de a le rula.
Pe lângă asta, unele dintre funcții necesită ca valoarea PTR_TO_MEM să fie transmisă ca argument iar verificatorul trebuie să cunoască dimensiunea memoriei asociată cu argumentul pentru a evita potențialele probleme de depășire a tamponului.
În timp ce pentru funcții bpf_ringbuf_submit și bpf_ringbuf_discard, datele despre dimensiunea memoriei transferate nu sunt raportate verificatorului (de aici începe problema), de care atacatorul profită pentru a putea folosi pentru a suprascrie zonele de memorie din afara limitei buffer-ului atunci când execută cod eBPF special creat.
Un atacator poate exploata această vulnerabilitate pentru escalada privilegiile și executa codul în contextul nucleului. Vă rugăm să rețineți că bpf neprivilegiat este dezactivat implicit pe majoritatea distribuțiilor.
Se menționează că pentru ca un utilizator să efectueze un atac, utilizatorul trebuie să poată încărca programul BPF și multe distribuții Linux recente îl blochează implicit (inclusiv accesul neprivilegiat la eBPF este acum interzis implicit în nucleul însuși, începând cu versiunea 5.16).
De exemplu, se menționează că vulnerabilitatea poate fi exploatat în configurația implicită în o distribuție care este încă destul de folosită și mai ales foarte populară așa cum este Ubuntu 20.04 LTS, dar în medii precum Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 și Fedora 33, se manifestă doar dacă administratorul a setat parametrul kernel.unprivileged_bpf_disabled la 0.
În prezent, ca o soluție pentru blocarea vulnerabilității, se menționează că utilizatorii neprivilegiati pot fi împiedicați să ruleze programe BPF prin rularea comenzii într-un terminal:
sysctl -w kernel.unprivileged_bpf_disabled=1
În cele din urmă, trebuie menționat că problema a apărut de la kernel-ul Linux 5.8 și rămâne nepatchată (inclusiv versiunea 5.16) și de aceea codul de exploatare va fi amânat cu 7 zile Și va fi publicat la ora 12:00 UTC, adică pe 18 ianuarie 2022.
Cu ce Este destinat să acorde suficient timp pentru ca patch-urile corective să fie disponibile utilizatorilor diferitelor distribuții Linux din canalele oficiale ale fiecăreia dintre acestea și atât dezvoltatorii, cât și utilizatorii pot corecta vulnerabilitatea menționată.
Pentru cei care sunt interesați să poată afla despre starea formării actualizărilor cu eliminarea problemei în unele dintre distribuțiile principale, ar trebui să știe că pot fi urmărite din aceste pagini: Debian, RHEL, SUSE, Fedora, Ubuntu, Arc.
Dacă ești interesat să afle mai multe despre asta despre notă, puteți consulta declarația originală În următorul link.