Một vài ngày trước, tin tức đã được phát hành rằng một lỗ hổng đã được xác định trong Netfilter (một hệ thống con nhân Linux được sử dụng để lọc và sửa đổi các gói mạng), cho phép người dùng cục bộ có được đặc quyền root trong một hệ thốngngay cả khi ở trong một thùng chứa cách nhiệt.
Lỗ hổng CVE-2021-22555 đó là một vấn đề đã xảy ra kể từ kernel 2.6.19, ra mắt cách đây 15 năm và là gây ra bởi một lỗi trong trình điều khiển IPT_SO_SET_REPLACE và IP6T_SO_SET_REPLACE, gây tràn bộ đệm khi gửi các tham số được trang trí đặc biệt qua lệnh gọi setsockopt ở chế độ compat.
Có lẽ nhiều người tại thời điểm này sẽ tự hỏi làm thế nào mà một lỗ hổng trong Nhân Linux lại có thể không được chú ý trong một thời gian dài và câu trả lời cho điều đó là mặc dù lỗ hổng đã xuất hiện từ phiên bản Linux 2.6.19, nhưng lỗ hổng đã được tìm thấy thông qua mã. kiểm toán, mặc dù mã C không thể tái tạo, vì vậy nó không thể được khai thác vì không tìm thấy các nguồn lực cần thiết để leo thang các đặc quyền vào thời điểm đó.
Ví dụ, hỗ trợ cho không gian tên người dùng không có đặc quyền là trong hạt nhân 3.8. Ngoài ra, một số bản phân phối có bản vá bổ sung sysctl để vô hiệu hóa không gian tên người dùng không có đặc quyền.
Trong các trường hợp bình thường, chỉ người dùng root mới có thể gọi compat_setsockopt ()nhưng các quyền cần thiết để thực hiện một cuộc tấn công chúng cũng có thể được lấy bởi một người dùng không có đặc quyền trên các hệ thống có bật không gian tên người dùng.
CVE-2021-22555 là lỗ hổng ghi chồng 15 năm tuổi trong Linux Netfilter đủ mạnh để vượt qua tất cả các biện pháp giảm thiểu bảo mật hiện đại và thực thi mã nhân.
Như vậy, nó được mô tả rằng người dùng cục bộ có thể tạo vùng chứa với người dùng gốc riêng biệt và khai thác lỗ hổng bảo mật từ đótôi. Ví dụ: "không gian tên người dùng" được bao gồm theo mặc định trong Ubuntu và Fedora, nhưng không có trong Debian và RHEL.
Lỗ hổng này có thể bị khai thác bằng cách ghi đè một phần
m_list->nextcon trỏmsg_msgcấu trúc và đạt được một miễn phí sau khi sử dụng. Điều này đủ mạnh để mã hạt nhân của bạn chạy vượt qua KASLR, SMAP và SMEP.
Ngoài ra, vấn đề phát sinh trong hàm xt_compat_target_from_user () do tính toán kích thước bộ nhớ không chính xác khi lưu cấu trúc hạt nhân sau khi chuyển đổi từ biểu diễn 32 bit sang 64 bit.
Như vậy, nó được đề cập rằng lỗi cho phép bốn byte "không" được ghi vào bất kỳ vị trí nào bên ngoài bộ đệm được chỉ định, giới hạn bởi độ lệch 0x4C. Bởi vì điều này, nó được đề cập rằng tính năng này hóa ra là đủ để tạo ra một khai thác cho phép có được quyền root: bằng cách xóa con trỏ m_list-> next trong cấu trúc msg_msg, các điều kiện được tạo ra để truy cập dữ liệu sau khi giải phóng bộ nhớ (use-after-free), sau đó được sử dụng để lấy thông tin về địa chỉ và các thay đổi đối với các cấu trúc khác bằng cách thao tác lệnh gọi hệ thống msgsnd ().
Về báo cáo lỗi, giống như bất kỳ lỗ hổng nào được phát hiện, điều này liên quan đến một quy trình và báo cáo được thực hiện cho các nhà phát triển hạt nhân vào tháng XNUMX, sau đó nó được sửa trong vài ngày và bản vá được bao gồm trong tất cả các bản phân phối được hỗ trợ, do đó thông tin về lỗi có thể được phát hành sau.
Các dự án Debian, Arch Linux và Fedora đã tạo các bản cập nhật gói. Bắt đầu với Ubuntu, các bản cập nhật RHEL và SUSE đang hoạt động. Vì lỗi là nghiêm trọng, có thể khai thác được trong thực tế và cho phép thoát khỏi vùng chứa, Google ước tính khám phá của mình ở mức 10,000 đô la và tăng gấp đôi phần thưởng cho nhà nghiên cứu đã xác định lỗ hổng bảo mật và xác định phương pháp tránh cô lập các vùng chứa Kubernetes trên cụm kCTF.
Để thử nghiệm, một nguyên mẫu hoạt động của một khai thác đã được chuẩn bị điều đó bỏ qua các cơ chế bảo vệ KASLR, SMAP và SMEP.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.