Inilabas ng mga mananaliksik ng Cisco Talos Ilang araw na ang nakakalipas isang kahinaan sa kernel ng Linux na maaaring samantalahin upang magnakaw ng data at nagsisilbi ring paraan upang mapalaki ang mga pribilehiyo at ikompromiso ang sistema.
Kakayahang mangyari inilarawan bilang isang 'kahinaan sa pagsisiwalat ng impormasyon na maaaring payagan ang isang umaatake na makita ang memorya ng kernel stack. '
Ang CVE-2020-28588 ay ang kahinaan na natuklasan sa pagpapaandar ng ARM aparato proc / pid / syscall 32-bit na mga aparato na nagpapatakbo ng operating system. Ayon sa Cisco Talos, ang problema ay unang natuklasan sa isang aparato na nagpapatakbo ng Azure Sphere.
Ang isang kahinaan sa pagsisiwalat ng impormasyon ay umiiral sa pagpapaandar / proc / pid / syscall ng Linux Kernel 5.1 Stable at 5.4.66. Mas partikular, ang isyung ito ay ipinakilala sa v5.1-rc4 (commits 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) at kasalukuyan pa rin sa v5.10-rc4, kaya't ang lahat ng mga intermediate na bersyon ay maaaring maapektuhan. Maaaring basahin ng isang magsasalakay / proc / pid / syscall upang buhayin ang kahinaan na ito, na nagiging sanhi ng pagkawala ng nilalaman ng memorya ng kernel.
Ang Proc ay isang espesyal na pseudo-filesystem sa mga operating system na tulad ng Unix na ginamit upang ma-access nang dinamikong data ang proseso matatagpuan sa kernel. Nagpapakita ng proseso ng impormasyon at iba pang impormasyon ng system sa isang hierarchical, tulad ng file na istraktura.
Halimbawa, naglalaman ito ng mga subdirectory / proc / [pid], na ang bawat isa ay naglalaman ng mga file at subdirectory na naglalantad ng impormasyon tungkol sa mga tukoy na proseso, na nababasa sa pamamagitan ng paggamit ng kaukulang ID ng proseso. Sa kaso ng file na "syscall", ito ay isang lehitimong file ng operating system ng Linux na naglalaman ng mga tala ng mga tawag sa system na ginamit ng kernel.
Para sa kumpanya, lMaaaring samantalahin ng mga hacker ang kamalian at mai-access ang operating system at syscall file sa pamamagitan ng isang sistema na ginagamit upang makipag-ugnay sa pagitan ng mga istraktura ng kernel data, Proc. Maaaring mapagsamantalahan ang pagpasok ng syscall procfs kung ang mga hacker ay naglalabas ng mga utos upang makabuo ng 24 bytes ng uninitialized heap memory, na humahantong sa isang bypass ng kernel address space layout randomization (KASLR).
Sa pagtingin sa tukoy na pag-andar na ito, ang lahat ay mukhang maayos, ngunit mahalagang tandaan na ang
argsang lumipas na parameter ay nagmulaproc_pid_syscallpagpapaandar at tulad nito ay talagang uri__u64 args. Sa isang ARM system, ang kahulugan ng pagpapaandar ay nagpapalit ng laki ngargmag-ayos ng mga elemento ng apat na byte mula sa walong byte (mula noongunsigned longsa ARM ito ay 4 bytes), na nagreresulta samemcpyay nakopya sa 20 bytes (plus 4 para saargs[0]).Katulad nito, para sa i386, kung saan
unsigned longito ay 4 bytes, lamangargsang unang 24 bytes ng argument ay nakasulat, naiwan ang natitirang 24 bytes na buo.Sa parehong kaso, kung titingnan natin ang
proc_pid_syscallpag-andar.Habang sa 32-bit ARM at i386 kopyahin lamang namin ang 24 bytes sa
argsarray, ang format string ay nagtatapos sa pagbabasa ng 48 bytes ngargsmatrix, mula noong%llxAng format string ay walong bytes sa 32-bit at 64-bit system. Kaya't 24 bytes ng uninitialized heap memory ay nagtatapos sa pagkuha ng output, na maaaring humantong sa isang bypass ng KASLR.
Sinabi ng mga mananaliksik na ang pag-atake na ito ay "imposibleng matukoy nang malayuan sa isang network" sapagkat ito ay nagbabasa mula sa isang lehitimong file ng operating system ng Linux. "Kung ginamit nang tama, maaaring samantalahin ng isang hacker ang impormasyon na ito na tumutulo upang matagumpay na pagsamantalahan ang iba pang hindi naipadala na mga kahinaan sa Linux," sabi ng Cisco.
Kaugnay nito, sinabi kamakailan ng Google:
"Ang mga pagkukulang sa seguridad ng memorya ay madalas na nagbabanta sa seguridad ng mga aparato, lalo na ang mga application at operating system. Halimbawa, sa Android mobile operating system na sinusuportahan din ng Linux kernel, sinabi ng Google na natagpuan na higit sa kalahati ng mga kahinaan sa seguridad na tinukoy noong 2019 ay resulta ng mga bug sa seguridad ng memorya.
Huling ngunit hindi huli Inirerekumenda na i-update ang mga bersyon 5.10-rc4, 5.4.66, 5.9.8 ng kernel ng Linux, mula noon Ang kahinaan na ito ay nasubukan at nakumpirma na magagamit ang mga sumusunod na bersyon ng kernel ng Linux.
Sa wakas kung interesado kang malaman ang tungkol dito Tungkol sa post, maaari mong suriin ang mga detalye sa sumusunod na link.