Dün Linux çekirdeğindeki bir güvenlik açığı hakkında bilgi yayınlandı ve halihazırda CVE-2021-3609 olarak kataloglanmıştır. Bu güvenlik açığı yerel bir kullanıcının sistemdeki ayrıcalıklarını yükseltmesine izin verir CAN BCM protokolünün uygulanmasındaki bir yarış durumu nedeniyle ve Linux çekirdeğinin 2.6.25 ila 5.13-rc6 sürümlerinde ortaya çıktı.
Karar avantaj sağlar Çünkü CAN BCM protokolü, kendi mesaj yöneticinizi kaydetmenizi sağlar denetleyicinin alan ağı (CAN) ve belirli bir ağ soketine bağlayın. Gelen bir mesaj geldiğinde fonksiyon çağrılır. bcm_rx_handler () bir saldırgan, bir yarış durumundan yararlanabilir ve yürütülürken ağ soketini kapanmaya zorlayabilir bcm_rx_handler().
Soket kapatıldığında sorun ortaya çıkıyor ve fonksiyon çağrılır bcm_release(), yapılar için ayrılan belleğin serbest bırakıldığı bcm_op ve bcm_sock, b işleyicisinde kullanılmaya devam edencm_rx_handler () hala çalışıyor, bu nedenle zaten serbest bırakılmış bir bellek bloğuna erişime yol açan bir durum ortaya çıkıyor (ücretsiz kullanım).
Bu, Linux çekirdeğinde 2021 sürümünden ana hat 3609-rc2.6.25'ya kadar değişen CAN BCM ağ protokolünde yakın zamanda bildirilen hatanın (CVE-5.13-6) bir duyurusudur.
Güvenlik açığı, net / can / bcm.c'de ayrıcalık yükseltmesinin köke ulaşmasına izin veren bir yarış durumudur. Sorun başlangıçta syzbot tarafından bildirildi ve Norbert Slusarek'in sömürülebilir olduğu kanıtlandı.
Saldırı, iki CAN BCM soketini açıp bunları vcan arayüzüne bağlamakla başlar. İlk konektörde, göndermsg () gösterge ile RX_SETUP denetleyiciyi gelen CAN mesajları için yapılandırmak ve ikinci konektörde göndermsg () İlk bağlayıcıya bir mesaj göndermek için.
Mesaj geldikten sonra, bcm_rx_handler() çağrısı tetiklenir ve saldırgan doğru anı alır ve ilk soketi kapatır, lansmanına yol açan bcm_release () ve yapıların lansmanı bcm_op ve bcm_sockçalışmalarına rağmen bcm_rx_handler () henüz tamamlanmadı.
Saldırgan, bcm_sock içeriğini değiştirerek, sk-> sk_data_ready (sk) işlevine bir işaretçiyi geçersiz kılabilir, yürütmeyi yeniden yönlendirebilir ve dönüşe yönelik programlama (ROP) tekniklerini kullanarak modprobe_path parametresini geçersiz kılabilir ve kodunun kök olarak çalışmasını sağlayabilir. .
ROP tekniğini kullanırken, saldırgan kodunu girmeye çalışmaz. anısına, ama üzerinde çalışır parçaları makine talimatları zaten mevcut yüklenen kitaplıklarda, bir kontrol dönüş ifadesi ile biter (kural olarak, bunlar kitaplık işlevlerinin sonudur).
Bir saldırı gerçekleştirmek için gereken izinler, kullanıcı ad alanlarının etkinleştirildiği sistemlerde oluşturulan kapsayıcılarda ayrıcalığı olmayan bir kullanıcı tarafından alınabilir. Örneğin, kullanıcı ad alanları varsayılan olarak Ubuntu ve Fedora'da bulunur, ancak Debian ve RHEL'de etkinleştirilmez.
İstismar girişimim, bf5.4aa1e74 taahhüdünden> = 86-rc111 sürümüne sahip çekirdeklere odaklanıyor. 5.4-rc1'den daha eski çekirdekleri görev uygulamaları kullanarak araştırmadım, ancak daha eski çekirdeklerden yararlanmak da mümkün görünüyor.
Bundan bahsediliyor güvenlik açığını tespit eden araştırmacı bir istismar hazırlayabildi Ubuntu 5.4 LTS'ye başarılı bir saldırı olasılığı da dahil olmak üzere, 20.04.02 ve sonraki sürümlerden çekirdeklere sahip sistemlerde kök hakları elde etmek.
İstismarın işi, gerekli işlevselliği elde etmek için benzer bloklara ("gadget'lar") bir çağrılar zinciri oluşturmaya indirgenmiştir. Saldırı, CAN soketleri ve yapılandırılmış bir vcan ağ arayüzü oluşturmak için erişim gerektirir.
Nihayet sorunun devam ettiği söyleniyor çoğu dağıtımda bulunur, ancak ilgili yamaların yayınlanması birkaç gün meselesidir.
Bu konuda daha fazla bilgi edinmek istiyorsanızdanışabilirsin aşağıdaki bağlantı.