Pred pár dňami vyšla správa, že bola zistená zraniteľnosť v Netfilteri (subsystém jadra Linuxu používaný na filtrovanie a úpravu sieťových paketov), ktorý umožňuje miestnemu používateľovi získať oprávnenie root v systémeaj keď je v izolovanej nádobe.
Zraniteľnosť CVE-2021-22555 je to problém, ktorý existuje od jadra 2.6.19, ktorá bola spustená pred 15 rokmi a je spôsobená chybou v ovládačoch IPT_SO_SET_REPLACE a IP6T_SO_SET_REPLACE, čo spôsobí pretečenie medzipamäte pri odosielaní špeciálne zdobených parametrov cez volanie setsockopt v režime kompatibility.
Možno si mnohí v tomto okamihu položia otázku, ako je možné, že chyba v jadre systému Linux mohla zostať tak dlho bez povšimnutia a odpoveďou na ňu je, že aj napriek chybe, ktorá sa vyskytla od verzie Linux 2.6.19, sa chyba zistila prostredníctvom kódu audit, aj keď nebol kód C reprodukovateľný, takže ho nebolo možné zneužiť, pretože v tom čase neboli nájdené zdroje potrebné na eskaláciu privilégií.
Napríklad podpora neprivilegovaných menných priestorov používateľov je v jadre 3.8. Niektoré distribúcie majú tiež opravu, ktorá pridáva sysctl na zakázanie neprivilegovaných menných priestorov používateľov.
Za normálnych okolností môže iba užívateľ root zavolať compat_setsockopt ()Ale potrebné povolenia vykonať útok môžu byť tiež získané neprivilegovaným používateľom v systémoch s povolenými priestormi mien používateľov.
CVE-2021-22555 je 15 rokov stará chyba zápisu do zásobníka v systéme Linux Netfilter, ktorá je dostatočne výkonná na to, aby obišla všetky moderné zmiernenia zabezpečenia a dosiahla vykonávanie kódu jadra.
Ako také sa to popisuje lokálny užívateľ môže vytvoriť kontajner so samostatným užívateľom root a odtiaľ zneužiť zraniteľnosťí. Napríklad „užívateľské priestory mien“ sú štandardne zahrnuté v Ubuntu a Fedore, ale nie v Debiane a RHEL.
Túto chybu zabezpečenia je možné zneužiť čiastočným prepísaním súboru
m_list->nextukazovateľmsg_msgštruktúru a dosiahnutie voľného po použití. Je to dosť silné na to, aby váš jadrový kód fungoval tak, že obíde KASLR, SMAP a SMEP.
Problém tiež nastáva vo funkcii xt_compat_target_from_user () v dôsledku nesprávneho výpočtu veľkosti pamäte pri ukladaní štruktúr jadra po prevode z 32-bitovej na 64-bitovú reprezentáciu.
Ako také sa uvádza, že chyba umožňuje zapísať štyri „nulové“ bajty na ľubovoľné miesto mimo medzipamäte priradené, obmedzené posunom 0x4C. Z tohto dôvodu sa uvádza, že táto funkcia sa ukázala ako dostatočná na vytvorenie zneužitia ktorý umožňuje získať práva root: odstránením m_list-> nasledujúceho ukazovateľa v štruktúre msg_msg sa vytvorili podmienky pre prístup k údajom po uvoľnení pamäte (use-after-free), ktorá sa potom použila na získanie informácií o adresách a zmeny iných štruktúr manipuláciou so systémovým volaním msgsnd ().
Pokiaľ ide o správu o chybe, tak ako každá zistená zraniteľnosť, ide o proces a správu, ktorá bola vykonaná vývojárom jadra v apríli. Neskôr bola opravená a oprava, ktorá je zahrnutá vo všetkých podporovaných distribúciách, aby informácie o chybe môžu byť zverejnené neskôr.
Projekty Debian, Arch Linux a Fedora už vygenerovali aktualizácie balíkov. Počnúc aktualizáciami Ubuntu, RHEL a SUSE sú v prevádzke. Pretože chyba je vážna, v praxi využiteľná a umožňuje únik z kontajnera, Google odhadol jeho objav na 10,000 XNUMX dolárov a odmenu zdvojnásobil výskumníkovi, ktorý identifikoval zraniteľnosť, a za identifikáciu metódy, ako zabrániť izolácii kontajnerov Kubernetes v klastri kCTF.
Na testovanie bol pripravený funkčný prototyp exploitu ktorý obchádza ochranné mechanizmy KASLR, SMAP a SMEP.
Konečne ak máte záujem dozvedieť sa viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.