Останнім часом ми ділимось тут, у блозі, новинами про інтерес, який виявила Microsoft про підсистему eGMP, Оскільки він створив підсистему для Windows, яка використовує метод статичного аналізу абстрактної інтерпретації, який у порівнянні з перевірителем eBPF для Linux демонструє нижчий коефіцієнт помилково позитивних результатів, підтримує аналіз циклу та забезпечує хорошу масштабованість.
Метод враховує багато типових закономірностей роботи, отриманих в результаті аналізу існуючих програм eBPF. Ця підсистема eBPF був включений в ядро Linux з версії 3.18 та Це дозволяє обробляти вхідні / вихідні мережеві пакети, прямі пакети, контролювати пропускну здатність, перехоплювати системні дзвінки, контролювати доступ та здійснювати моніторинг.
І чи це про це говорити, нещодавно було виявлено, що було виявлено дві нові вразливості в підсистемі eBPF, що дозволяє запускати драйвери всередині ядра Linux на спеціальній віртуальній машині JIT.
Обидві вразливості дають можливість запускати код з правами ядра, поза ізольованою віртуальною машиною eBPF.
Інформація про проблеми була опублікована командою ініціативи Zero Day, який проводить конкуренцію Pwn2Own, під час якої цього року було продемонстровано три атаки на Ubuntu Linux, в яких використовувались раніше невідомі вразливості (якщо вразливості в eBPF пов'язані з цими атаками, про це не повідомляється).
Відстеження обмежень eBPF ALU32 для побітових операцій (AND, OR та XOR) 32-розрядні обмеження не оновлювались.
Манфред Пол (@_manfp) з команди RedRocket CTF (@redrocket_ctf), що працює з нимІніціатива Trend Micro Zero Day виявила цю вразливість його можна перетворити на позамежне читання та запис у ядрі. Це вже було повідомляється як ZDI-CAN-13590 і призначений CVE-2021-3490.
- CVE-2021-3490: Уразливість пов'язана з відсутністю виходу за межі перевірки для 32-розрядних значень при виконанні побітових операцій AND, OR та XOR на eBPF ALU32. Зловмисник може скористатися цією помилкою для читання та запису даних поза межами виділеного буфера. Проблема з операціями XOR існує з часів ядра 5.7-rc1 та AND та OR з 5.10-rc1.
- CVE-2021-3489: вразливість викликана помилкою в реалізації буфера дзвінка і пов'язана з тим, що функція bpf_ringbuf_reserve не перевіряла можливість того, що розмір виділеної області пам'яті менший за фактичний розмір буфера ringbuf. Проблема була очевидною з моменту випуску 5.8-rc1.
Крім того, ми також можемо спостерігати ще одну вразливість ядра Linux: CVE-2021-32606, який дозволяє локальному користувачеві підвищити свої привілеї до кореневого рівня. Проблема проявляється з ядра Linux 5.11 і викликана умовою перегонів при реалізації протоколу CAN ISOTP, що дозволяє змінювати параметри прив'язки сокета через відсутність конфігурації належних блокувань в isotp_setsockopt () коли прапор обробляється CAN_ISOTP_SF_BROADCAST.
Одного разу розетка, ISOTP продовжує прив’язуватися до сокета приймача, який може продовжувати використовувати структури, пов’язані з сокетом, після звільнення пов’язаної пам’яті (без використання після виклику структури isotp_sock вже звільнений, коли я дзвонюsotp_rcv(). Маніпулюючи даними, ви можете замінити покажчик на функцію sk_error_report () і запустіть свій код на рівні ядра.
Статус виправлень вразливостей у дистрибутивах можна відстежувати на таких сторінках: Ubuntu, Debian, RHEL, Fedora, SUSE, арка).
Виправлення також доступні у вигляді виправлень (CVE-2021-3489 та CVE-2021-3490). Використання проблеми залежить від доступності виклику до системи eBPF для користувача. Наприклад, у конфігурації за замовчуванням на RHEL, використання вразливості вимагає, щоб користувач мав привілеї CAP_SYS_ADMIN.
В кінці кінців якщо ви хочете дізнатися більше про це, Ви можете перевірити деталі У наступному посиланні.