Cisco Talos-forskare släppte Några dagar sen en sårbarhet i Linux-kärnan som kan utnyttjas för att stjäla data och fungerar också som ett sätt att eskalera privilegier och kompromissa med systemet.
Sårbarhet beskrivs som en "sårbarhet för avslöjande av information vilket kan göra det möjligt för en angripare att se minnet i kärnstacken. '
CVE-2020-28588 är sårbarheten som upptäcktes i ARM-enheter proc / pid / syscall-funktionalitet 32-bitars som kör operativsystemet. Enligt Cisco Talos upptäcktes problemet först på en enhet som kör Azure Sphere.
Det finns en sårbarhet för informationsutlämnande i / proc / pid / syscall-funktionaliteten i Linux Kernel 5.1 Stable och 5.4.66. Mer specifikt har denna fråga introducerats i v5.1-rc4 (begår 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) och finns fortfarande i v5.10-rc4, så alla mellanversioner kommer sannolikt att påverkas. En angripare kan läsa / proc / pid / syscall för att aktivera denna sårbarhet, vilket gör att kärnan tappar minnesinnehåll.
Proc är ett speciellt pseudofilsystem på Unix-liknande operativsystem som används för att dynamiskt komma åt processdata finns i kärnan. Presenterar processinformation och annan systeminformation i en hierarkisk, filliknande struktur.
Till exempel innehåller den underkataloger / proc / [pid], var och en innehåller filer och underkataloger som exponerar information om specifika processer, läsbar med hjälp av motsvarande process-ID. När det gäller "syscall" -filen är det en legitim Linux-operativsystemfil som innehåller loggar över de systemanrop som används av kärnan.
För företaget, lHackare kan utnyttja felet och komma åt operativsystemet och syscall-filen genom ett system som används för att interagera mellan kärndatastrukturerna, Proc. Syscall procfs-posten kan utnyttjas om hackare utfärdar kommandon för att generera 24 byte oinitialiserat heapminne, vilket leder till en förbikoppling av KASLR-randomisering av kärnadressutrymme.
Om man tittar på den här specifika funktionen ser allt bra ut, men det är värt att notera att
argsskickad parameter kom frånproc_pid_syscallfunktion och som sådan är faktiskt av typ__u64 args. I ett ARM-system omvandlar funktionsdefinitionen storleken påargarray i fyra byte-element från åtta byte (sedanunsigned longi ARM är det 4 byte), vilket resulterar i att imemcpykopieras till 20 byte (plus 4 förargs[0]).På samma sätt för i386, där
unsigned longdet är bara 4 byteargsde första 24 bytes av argumentet skrivs och de återstående 24 byten lämnas intakta.I båda fallen, om vi ser tillbaka på
proc_pid_syscallfungera.I 32-bitars ARM och i386 kopierar vi bara 24 byte i
argsarray slutar formatsträngen att läsa 48 byte frånargsmatris, eftersom%llxFormatsträngen är åtta byte på 32-bitars och 64-bitars system. Så 24 byte av oinitialiserat högminne får slutligen utdata, vilket kan leda till en KASLR-förbikoppling.
Forskarna säger att denna attack är "omöjligt att upptäcka på distans i ett nätverk" eftersom den läser en legitim fil från Linux-operativsystemet. "Om det används korrekt kan en hackare dra nytta av denna informationsläcka för att lyckas utnyttja andra unpatchade Linux-sårbarheter", säger Cisco.
I detta avseende sa Google nyligen:
”Brister i minnessäkerheten hotar ofta säkerheten för enheter, särskilt applikationer och operativsystem. Till exempel, på Android-mobiloperativsystemet som också stöds av Linux-kärnan, säger Google att de fann att mer än hälften av de säkerhetsproblem som behandlades under 2019 var resultatet av minnessäkerhetsfel.
Sist men inte minst Det rekommenderas att uppdatera versionerna 5.10-rc4, 5.4.66, 5.9.8 av Linux-kärnan, sedan Denna sårbarhet har testats och bekräftats för att kunna utnyttja följande versioner av Linux-kärnan.
Slutligen om du är intresserad av att veta mer om det Om inlägget kan du kontrollera detaljerna i följande länk.