Уязвимост в подсистемата на ядрото на Linux Netfilter

Беше идентифицирана уязвимост (CVE-2021-22555) в Netfilter, подсистема на ядрото на Linux, използвана за филтриране и модифициране на мрежови пакети, която позволява на локален потребител да получи root привилегии в системата, включително докато е в изолиран контейнер. Подготвен е за тестване работещ прототип на експлойт, който заобикаля защитните механизми KASLR, SMAP и SMEP. Изследователят, който откри уязвимостта, получи награда от $20 XNUMX от Google за идентифициране на метод за заобикаляне на изолацията на контейнери на Kubernetes в kCTF клъстер.

Проблемът съществува от ядрото 2.6.19, пуснато преди 15 години, и е причинен от грешка в манипулаторите IPT_SO_SET_REPLACE и IP6T_SO_SET_REPLACE, която причинява препълване на буфера при изпращане на специално форматирани параметри чрез извикване на setsockopt в режим compat. При нормални обстоятелства само root потребителят може да извика compat_setsockopt(), но привилегиите, необходими за извършване на атаката, могат да бъдат получени и от непривилегирован потребител на системи с активирана поддръжка за потребителски пространства от имена.

Потребителят може да създаде контейнер с отделен root потребител и да използва уязвимостта оттам. Например „потребителските пространства от имена“ са активирани по подразбиране в Ubuntu и Fedora, но не са активирани в Debian и RHEL. Корекцията, коригираща уязвимостта, беше приета в ядрото на Linux на 13 април. Актуализации на пакети вече са генерирани от проектите Debian, Arch Linux и Fedora. В Ubuntu, RHEL и SUSE се подготвят актуализации.

Проблемът възниква във функцията xt_compat_target_from_user() поради неправилно изчисляване на размера на паметта при запазване на структури на ядрото след преобразуване от 32-битово в 64-битово представяне. Грешката позволява четири нулеви байта да бъдат записани на всяка позиция извън разпределения буфер, ограничен от отместване 0x4C. Тази функция се оказа достатъчна, за да се създаде експлойт, който позволява да се получат root права - чрез изчистване на указателя m_list->next в структурата msg_msg се създават условия за достъп до данни след освобождаване на паметта (use-after-free), което след това се използва за получаване на информация за адреси и промени в други структури чрез манипулиране на системното извикване msgsnd().

Източник: opennet.ru