Nedávno dôležité informácie o identifikácia zraniteľnosť (uvedené ako CVE-2021-27365) v kóde subsystému iSCSI Linuxové jadro umožňuje neprivilegovanému miestnemu používateľovi spúšťať kód na úrovni jadra a získavať oprávnenia root v systéme.
Problém je spôsobený chybou v module iscsi_host_get_param () systému libiscsi, ktorá bola predstavená v roku 2006 počas vývoja subsystému iSCSI. Kvôli nedostatku náležitých ovládacích prvkov na dimenzovanie môžu niektoré atribúty reťazca iSCSI, ako napríklad názov hostiteľa alebo meno používateľa, prekročiť hodnotu PAGE_SIZE (4KB).
Zraniteľnosť by sa mohla zneužiť zasielaním správ Netlink neprivilegovaným používateľom, ktorý nastavuje atribúty iSCSI na hodnoty väčšie ako PAGE_SIZE. Pri čítaní údajov atribútov prostredníctvom sysfs alebo seqfs sa volá kód, ktorý odovzdá atribúty sprintf, aby sa skopírovali do medzipamäte veľkosti PAGE_SIZE.
Konkrétnym príslušným subsystémom je dátový prenos SCSI (Small Computer System Interface), ktorý je štandardom na prenos údajov na pripojenie počítačov k periférnym zariadeniam, pôvodne pomocou fyzického kábla, napríklad pevných diskov. SCSI je ctihodný štandard, ktorý bol pôvodne publikovaný v roku 1986 a bol zlatým štandardom pre serverové konfigurácie. ISCSI je v podstate SCSI cez TCP. SCSI sa dodnes používa, najmä v určitých úložných situáciách, ale ako sa to stane útočnou plochou v predvolenom systéme Linux?
Využívanie zraniteľnosti v distribúciách závisí od podpory automatického načítania modulu jadra scsi_transport_iscsi pri pokuse o vytvorenie zásuvky NETLINK_ISCSI.
V distribúciách, kde sa tento modul načítava automaticky, je možné vykonať útok bez ohľadu na použitie funkčnosti iSCSI. Zároveň je pre úspešné využitie exploitu navyše nutná registrácia aspoň jedného transportu iSCSI. Na druhej strane, na registráciu transportu môžete použiť jadrový modul ib_iser, ktorý sa načíta automaticky, keď sa neprivilegovaný užívateľ pokúsi vytvoriť soket NETLINK_RDMA.
Automatické načítanie modulov potrebných na použitie exploitu podporuje CentOS 8, RHEL 8 a Fedora inštaláciou balíka rdma-core do systému, ktorý je závislosťou niektorých populárnych balíkov a je predvolene nainštalovaný v konfiguráciách pre pracovné stanice, serverové systémy s grafickým rozhraním a virtualizáciu hostiteľských prostredí.
Rdma-core sa zároveň nenainštaluje pri použití serverovej zostavy, ktorá funguje iba v režime konzoly a pri inštalácii minimálneho inštalačného obrazu. Balík je napríklad zahrnutý v základnej distribúcii pracovnej stanice Fedora 31, ale nie je zahrnutý na serveri Fedora 31.
Debian a Ubuntu sú na tento problém menej náchylnépretože balík rdma-core načíta moduly jadra potrebné na útok, iba ak je k dispozícii hardvér RDMA. Balík Ubuntu na strane servera však obsahuje balík open-iscsi, ktorý obsahuje súbor /lib/modules-load.d/open-iscsi.conf, aby sa zabezpečilo automatické načítanie modulov iSCSI pri každom zavedení.
Fungujúci prototyp exploitu je k dispozícii pre server skús na linku dole.
Zraniteľnosť bola opravená v aktualizáciách jadra systému Linux 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 a 4.4.260. Aktualizácie balíkov jadra sú k dispozícii na distribúciách Debian (oldstable), Ubuntu, SUSE / openSUSE, Arch Linux a Fedora, zatiaľ čo pre RHEL ešte neboli vydané žiadne opravy.
Tiež v subsystéme iSCSI boli opravené dve menej nebezpečné zraniteľnosti ktoré môžu viesť k úniku údajov jadra: CVE-2021-27363 (uniknuté informácie o deskriptore transportu iSCSI cez sysfs) a CVE-2021-27364 (čítanie z oblasti mimo limitov medzipamäte).
Tieto chyby zabezpečenia možno zneužiť na komunikáciu cez zásuvku sieťového spojenia so subsystémom iSCSI bez potrebných privilégií. Napríklad neprivilegovaný užívateľ sa môže pripojiť k iSCSI a odoslať príkaz na odhlásenie.
Fuente: https://blog.grimm-co.com