Gần đây chúng tôi chia sẻ ở đây trên blog tin tức về sự quan tâm mà Microsoft đã thể hiện về hệ thống con eGMP, Vì nó đã xây dựng một hệ thống con cho Windows sử dụng phương pháp phân tích tĩnh diễn giải trừu tượng, so với trình kiểm tra eBPF cho Linux, cho thấy tỷ lệ dương tính giả thấp hơn, hỗ trợ phân tích vòng lặp và cung cấp khả năng mở rộng tốt.
Phương pháp này có tính đến nhiều mẫu hiệu suất điển hình thu được từ việc phân tích các chương trình eBPF hiện có. Hệ thống con eBPF này đã được đưa vào nhân Linux kể từ phiên bản 3.18 và Nó cho phép bạn xử lý các gói mạng đến / đi, gói chuyển tiếp, kiểm soát băng thông, chặn các cuộc gọi hệ thống, kiểm soát truy cập và giám sát.
Và đó là nói về nó, gần đây nó đã được tiết lộ rằng hai lỗ hổng mới đã được xác định trong hệ thống con eBPF, cho phép bạn chạy trình điều khiển bên trong nhân Linux trong một máy ảo JIT đặc biệt.
Cả hai lỗ hổng đều cung cấp cơ hội để chạy mã với quyền hạt nhân, bên ngoài máy ảo eBPF bị cô lập.
Thông tin về những vấn đề được xuất bản bởi nhóm Sáng kiến Ngày Không có, tổ chức cuộc thi Pwn2Own, trong năm nay, ba cuộc tấn công vào Ubuntu Linux đã được trình diễn, trong đó các lỗ hổng chưa biết trước đây đã được sử dụng (nếu các lỗ hổng trong eBPF có liên quan đến các cuộc tấn công này thì nó sẽ không được báo cáo).
Người ta đã phát hiện ra rằng theo dõi giới hạn eBPF ALU32 cho các hoạt động bitwise (VÀ, HOẶC và XOR) Giới hạn 32 bit không được cập nhật.
Manfred Paul (@_manfp) của nhóm RedRocket CTF (@redrocket_ctf) đang làm việc với anh ấySáng kiến Zero Day của Trend Micro đã phát hiện ra rằng lỗ hổng này nó có thể được chuyển đổi thành các lần đọc và ghi ngoài giới hạn trong hạt nhân. Thứ này đã được được báo cáo là ZDI-CAN-13590 và được gán CVE-2021-3490.
- CVE-2021-3490: Lỗ hổng bảo mật là do thiếu xác minh ngoài giới hạn cho các giá trị 32 bit khi thực hiện các phép toán bitwise AND, OR và XOR trên eBPF ALU32. Kẻ tấn công có thể lợi dụng lỗi này để đọc và ghi dữ liệu ngoài giới hạn của bộ đệm được cấp phát. Vấn đề với các hoạt động XOR đã xảy ra kể từ hạt nhân 5.7-rc1 và AND và OR kể từ 5.10-rc1.
- CVE-2021-3489: Lỗ hổng này do lỗi trong quá trình triển khai bộ đệm vòng và có liên quan đến thực tế là hàm bpf_ringbuf_reserve đã không kiểm tra khả năng kích thước của vùng bộ nhớ được cấp phát nhỏ hơn kích thước thực của bộ đệm ringbuf. Vấn đề đã rõ ràng kể từ khi phát hành 5.8-rc1.
Bên cạnh đó, chúng ta cũng có thể quan sát một lỗ hổng khác trong nhân Linux: CVE-2021-32606, mà cho phép người dùng cục bộ nâng đặc quyền của họ lên cấp cơ sở. Vấn đề tự xuất hiện kể từ hạt nhân Linux 5.11 và gây ra bởi điều kiện chạy đua trong việc triển khai giao thức CAN ISOTP, khiến có thể thay đổi các tham số liên kết ổ cắm do thiếu cấu hình của các khóa thích hợp trong isotp_setsockopt () khi cờ được xử lý CAN_ISOTP_SF_BROADCAST.
Một khi ổ cắm, ISOTP tiếp tục liên kết với ổ cắm bộ thu, có thể tiếp tục sử dụng các cấu trúc được liên kết với ổ cắm sau khi bộ nhớ liên kết được giải phóng (sử dụng sau khi miễn phí do lệnh gọi cấu trúc isotp_sock đã được giải phóng khi tôi gọisotp_rcv(). Bằng cách thao tác dữ liệu, bạn có thể ghi đè con trỏ đến hàm sk_error_report () và chạy mã của bạn ở cấp hạt nhân.
Bạn có thể theo dõi trạng thái của các bản sửa lỗi cho các lỗ hổng trong các bản phân phối trên các trang này: Ubuntu, Debian, RHEL, Fedora, SUSE, Arch).
Các bản sửa lỗi cũng có sẵn dưới dạng bản vá (CVE-2021-3489 và CVE-2021-3490). Việc khai thác vấn đề phụ thuộc vào tính khả dụng của cuộc gọi đến hệ thống eBPF cho người dùng. Ví dụ: trong cài đặt mặc định trên RHEL, việc khai thác lỗ hổng yêu cầu người dùng phải có đặc quyền CAP_SYS_ADMIN.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.