nyligen viktig information släpptes om identifieringen av en sårbarhet (listad som CVE-2021-27365) i iSCSI-delsystemkoden av linux-kärnan tillåter en oprivilegierad lokal användare att köra kod på kärnnivå och få root-privilegier på systemet.
Problemet orsakas av en bugg i libiscsi-modulens iscsi_host_get_param() funktion, som introducerades redan 2006 under utvecklingen av iSCSI-undersystemet. På grund av bristen på korrekta storlekskontroller kan vissa iSCSI-strängattribut, som värdnamn eller användarnamn, överskrida värdet PAGE_SIZE (4KB).
Sårbarheten kan utnyttjas genom att skicka Netlink-meddelanden genom att en oprivilegierad användare ställer in iSCSI-attributen till värden större än PAGE_SIZE. Vid läsning av attributdata via sysfs eller seqfs anropas kod för att skicka attributen till sprintf så att de kopieras till en buffert vars storlek är PAGE_SIZE.
Det specifika delsystemet i fråga är SCSI (Small Computer System Interface) datatransport, som är en standard för överföring av data som görs för att ansluta datorer med kringutrustning, ursprungligen via en fysisk kabel, såsom hårddiskar. SCSI är en vördnadsvärd standard som ursprungligen publicerades 1986 och var guldstandarden för serverinställningar, och iSCSI är i grunden SCSI över TCP. SCSI används fortfarande idag, speciellt för vissa lagringssituationer, men hur blir detta en attackyta på ett standard Linux-system?
Utnyttjar sårbarhet i utdelningar beror på stöd för automatisk laddning av kärnmodulen scsi_transport_iscsi när du försöker skapa en NETLINK_ISCSI-socket.
På distributioner där denna modul laddas automatiskt kan attacken utföras oavsett användning av iSCSI-funktionalitet. Samtidigt, för framgångsrik användning av utnyttjandet, krävs dessutom registrering av minst en iSCSI-transport. I sin tur, för att registrera en transport, kan du använda ib_iser-kärnmodulen, som laddas automatiskt när en oprivilegierad användare försöker skapa en NETLINK_RDMA-socket.
Automatisk laddning av moduler som behövs för att använda exploateringen stöder CentOS 8, RHEL 8 och Fedora genom att installera rdma-core-paketet på systemet, vilket är ett beroende för vissa populära paket och som är installerat som standard i konfigurationer för arbetsstationer, GUI-system för server och virtualiseringsvärdmiljöer.
Samtidigt installeras inte rdma-core när man använder en serverbuild som bara fungerar i konsolläge och när man installerar en minimal installationsavbildning. Till exempel är paketet inkluderat i basdistributionen av Fedora 31 Workstation, men inte inkluderat i Fedora 31 Server.
Debian och Ubuntu är mindre mottagliga för problemet, eftersom rdma-core-paketet bara laddar de kärnmoduler som behövs för en attack om RDMA-hårdvara är tillgänglig. Ubuntu-paketet på serversidan inkluderar dock paketet open-iscsi, som inkluderar filen /lib/modules-load.d/open-iscsi.conf för att säkerställa att iSCSI-moduler automatiskt laddas vid varje uppstart.
En fungerande prototyp av exploateringen är tillgänglig för prova följande länk.
Sårbarheten åtgärdades i Linux-kärnuppdateringarna 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 och 4.4.260. Kärnpaketuppdateringar är tillgängliga på Debian (oldstable), Ubuntu, SUSE/openSUSE, Arch Linux och Fedora-distributioner, medan inga korrigeringar har släppts för RHEL ännu.
Även i iSCSI-undersystemet två mindre farliga sårbarheter har åtgärdats som kan leda till kärndataläckage: CVE-2021-27363 (information läckt om iSCSI-transportdeskriptor via sysfs) och CVE-2021-27364 (läser en region utanför buffertgränserna) .
Dessa sårbarheter kan utnyttjas för att kommunicera över en nätverkslänksocket med iSCSI-delsystemet utan nödvändiga privilegier. Till exempel kan en icke-privilegierad användare ansluta till iSCSI och utfärda ett logoff-kommando.
Fuente: https://blog.grimm-co.com