最近 發布了有關的重要信息 的識別 脆弱性 (列為CVE-2021-27365) 在 iSCSI 子系統代碼中 Linux內核的 允許非特權本地用戶執行內核級代碼並獲得系統的 root 權限。
該問題是由 libiscsi 模塊的 iscsi_host_get_param() 函數中的錯誤引起的,該函數於 2006 年開發 iSCSI 子系統期間引入。 由於缺乏適當的大小控制,某些 iSCSI 字符串屬性(例如主機名或用戶名)可能會超過 PAGE_SIZE (4KB) 值。
該漏洞可通過發送 Netlink 消息來利用 由非特權用戶將 iSCSI 屬性設置為大於 PAGE_SIZE 的值。 當通過sysfs或seqfs讀取屬性數據時,會調用代碼將屬性傳遞給sprintf,以便將它們複製到大小為PAGE_SIZE的緩衝區中。
所討論的特定子系統是 SCSI(小型計算機系統接口)數據傳輸,它是一種傳輸數據的標準,用於將計算機與外圍設備連接起來,最初是通過物理電纜(例如硬盤驅動器)進行的。 SCSI 是一項古老的標準,最初發佈於 1986 年,是服務器設置的黃金標準,而 iSCSI 基本上是基於 TCP 的 SCSI。 SCSI 至今仍在使用,特別是在某些存儲情況下,但這如何成為默認 Linux 系統上的攻擊面呢?
利用漏洞 在發行版中 依賴於內核模塊自動加載的支持 scsi_transport_iscsi 嘗試創建 NETLINK_ISCSI 套接字時。
在自動加載該模塊的發行版上,可以進行攻擊 無論是否使用 iSCSI 功能。 同時,為了成功利用該漏洞,還需要註冊至少一個 iSCSI 傳輸。 反過來,要註冊傳輸,您可以使用 ib_iser 內核模塊,當非特權用戶嘗試創建 NETLINK_RDMA 套接字時,該模塊會自動加載。
自動加載使用該漏洞所需的模塊 通過在系統上安裝 rdma-core 軟件包來支持 CentOS 8、RHEL 8 和 Fedora,它是一些流行軟件包的依賴項,默認安裝在工作站、服務器 GUI 系統和虛擬化主機環境的配置中。
同時,當使用僅在控制台模式下工作的服務器構建以及安裝最小安裝映像時,不會安裝 rdma-core。 例如,該軟件包包含在 Fedora 31 Workstation 的基本發行版中,但不包含在 Fedora 31 Server 中。
Debian 和 Ubuntu 不太容易受到該問題的影響,因為 rdma-core 包僅在 RDMA 硬件可用的情況下加載攻擊所需的內核模塊。 但是,服務器端 Ubuntu 軟件包包含 open-iscsi 軟件包,其中包含 /lib/modules-load.d/open-iscsi.conf 文件,以確保每次啟動時自動加載 iSCSI 模塊。
該漏洞的工作原型可用於 嘗試以下鏈接。
該漏洞已在 Linux 內核更新 5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260 中修復。 Debian (oldstable)、Ubuntu、SUSE/openSUSE、Arch Linux 和 Fedora 發行版上提供了內核軟件包更新,但尚未發布針對 RHEL 的修復程序。
另外,在 iSCSI 子系統中 兩個不太危險的漏洞已修復 這可能導致內核數據洩漏:CVE-2021-27363(通過 sysfs 洩漏有關 iSCSI 傳輸描述符的信息)和 CVE-2021-27364(讀取緩衝區邊界之外的區域)。
無需必要的權限,即可利用這些漏洞通過網絡鏈接套接字與 iSCSI 子系統進行通信。 例如,非特權用戶可以連接到 iSCSI 並發出註銷命令。