🥇Уязвимости тип „Dirty Frag“, които променят кеша на страниците, за да получат root достъп във всяка Linux дистрибуция

В ядрото на Linux са открити две уязвимости. Тези уязвимости са подобни по естеството си на уязвимостта Copy Fail, разкрита преди няколко дни, но засягат различни подсистеми - xfrm-ESP и RxRPC. Тази серия от уязвимости е с кодово име Dirty Frag (наричана още Copy Fail 2). Тези уязвимости позволяват на непривилегирован потребител да получи root права, като презапише данни за процеса в кеша на страниците. Налична е експлойт, който работи на всички текущи Linux дистрибуции. Уязвимостта беше разкрита преди публикуването на корекции, но е налично заобиколно решение.

Dirty Frag обхваща две различни уязвимости: първата в модула xfrm-ESP, използван за ускоряване на операциите по IPsec криптиране с помощта на протокола ESP (Encapsulating Security Payload), и втората в драйвера RxRPC, който имплементира семейството сокети AF_RXRPC и едноименния RPC протокол, работещ през UDP. Всяка уязвимост, разгледана поотделно, позволява root права. Уязвимостта xfrm-ESP присъства в ядрото на Linux от януари 2017 г., а уязвимостта RxRPC е налице от юни 2023 г. И двата проблема са причинени от оптимизации, които позволяват директен запис в кеша на страниците.

За да се използва уязвимостта xfrm-ESP, потребителят трябва да има разрешение за създаване на имена, а за да се използва уязвимостта RxRPC, трябва да се зареди модулът на ядрото rxrpc.ko. Например, в Ubuntu правилата на AppArmor не позволяват на непривилегировани потребители да създават имена, но модулът rxrpc.ko се зарежда по подразбиране. Някои дистрибуции нямат модула rxrpc.ko, но не блокират създаването на имена. Изследователят, който е открил проблема, е разработил комбиниран експлойт, способен да атакува системата чрез двете уязвимости, което прави възможно използването на проблема във всички основни дистрибуции. Потвърдено е, че експлойтът работи на Ubuntu 24.04.4 с ядро 6.17.0-23, RHEL 10.1 с ядро 6.12.0-124.49.1, openSUSE Tumbleweed с ядро 7.0.2-1, CentOS Stream 10 с ядро 6.12.0-224, AlmaLinux 10 с ядро 6.12.0-124.52.3 и Fedora 44 с ядро 6.19.14-300.

Както при уязвимостта Copy Fail, проблемите в xfrm-ESP и RxRPC са причинени от декриптиране на данни на място, използвайки функцията splice(), която прехвърля данни между файлови дескриптори и канали без копиране, чрез предаване на препратки към елементи в кеша на страниците. Отместванията за запис са изчислени без подходящи проверки, за да се отчете използването на директни препратки към елементи в кеша на страниците, което позволява на специално създадени заявки да презаписват 4 байта при дадено отместване и да променят съдържанието на всеки файл в кеша на страниците.

Всички операции за четене на файлове първо извличат съдържанието от кеша на страниците. Ако данните в кеша на страниците бъдат променени, операциите за четене на файлове ще върнат заместени данни, а не действителната информация, съхранена на устройството. Експлоатацията на уязвимостта се свежда до промяна на кеша на страниците за изпълним файл с root флаг suid. Например, за да се получат root права, човек може да прочете изпълнимия файл /usr/bin/su, за да го постави в кеша на страниците, и след това да замести собствения си код в съдържанието на този файл, зареден в кеша на страниците. Последващото изпълнение на помощната програма "su" ще доведе до зареждане на модифицираното копие от кеша на страниците в паметта, а не на оригиналния изпълним файл от устройството.

Разкриването на уязвимостта и координираното пускане на корекции бяха планирани за 12 май, но поради изтичане на информация, информацията за уязвимостта трябваше да бъде публикувана преди пускането на корекциите. В края на април, корекции за rxrpc, ipsec и xfrm бяха публикувани в публичния пощенски списък на netdev, без да се споменава, че са свързани с уязвимостта. На 5 май, поддържащият подсистемата IPsec прие промяна в Git хранилището на netdev с предложена корекция в модула xfrm-esp. Описанието на промяната беше до голяма степен идентично с описанието на проблема, довел до уязвимостта Copy Fail в модула algif_aead. Изследовател по сигурността се заинтересува от тази корекция, успя да създаде работещ експлойт и го публикува, без да знае, че е наложено ембарго върху разкриването на информация за проблема до 12 май.

Все още не са публикувани актуализации с корекции за ядрото на Linux и пакетите с ядрото в дистрибуциите, но са налични корекции, които отстраняват проблемите – xfrm-esp и rxrpc. Не са зададени CVE идентификатори, което усложнява проследяването на актуализациите на пакетите в дистрибуциите. Като заобиколно решение можете да блокирате зареждането на модулите на ядрото esp4, esp6 и rxrpc: sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Източник: opennet.ru

Уязвимости Dirty Frag, които променят кеша на страниците, за да получат root достъп във всички Linux дистрибуции.