Уязвимости в подсистемата eBPF, които позволяват изпълнение на код на ниво ядро ​​на Linux

Бяха идентифицирани две нови уязвимости в подсистемата eBPF, която ви позволява да стартирате манипулатори вътре в ядрото на Linux в специална виртуална машина с JIT. И двете уязвимости правят възможно изпълнението на вашия код с права на ядрото, извън изолирана eBPF виртуална машина. Информация за проблемите беше публикувана от екипа на Zero Day Initiative, който провежда състезанието Pwn2Own, по време на което тази година бяха демонстрирани три атаки на Ubuntu Linux, използващи неизвестни досега уязвимости (не се съобщава дали уязвимостите в eBPF са свързани с тези атаки) .

• CVE-2021-3490 – Уязвимостта е причинена от липса на 32-битова проверка извън границите при изпълнение на побитови операции И, ИЛИ и XOR в eBPF ALU32. Нападателят може да се възползва от тази грешка, за да чете и записва данни извън границите на разпределения буфер. Проблемът с операциите XOR се появява от версия на ядрото 5.7-rc1, а И и ИЛИ - от 5.10-rc1.
• CVE-2021-3489 - Уязвимостта е причинена от грешка при внедряването на пръстенния буфер и се дължи на факта, че функцията bpf_ringbuf_reserve не е проверила възможността размерът на разпределената област на паметта да е по-малък от действителния размер на рингбуфа. Проблемът се появява от версия 5.8-rc1.

Състоянието на корекция на уязвимости в дистрибуции може да се проследи на тези страници: Ubuntu, Debian, RHEL, Fedora, SUSE, Arch). Поправките се предлагат и като пачове (CVE-2021-3489, CVE-2021-3490). Дали проблемът може да бъде използван зависи от това дали системното повикване на eBPF е достъпно за потребителя. Например, в конфигурацията по подразбиране в RHEL, използването на уязвимостта изисква потребителят да има CAP_SYS_ADMIN права.

Отделно можем да отбележим друга уязвимост в ядрото на Linux - CVE-2021-32606, която позволява на локален потребител да повиши своите привилегии до ниво root. Проблемът е очевиден от ядрото на Linux 5.11 и е причинен от състояние на състезание в изпълнението на протокола CAN ISOTP, което прави възможно промяната на параметрите за свързване на сокета поради липсата на настройка на правилните заключвания във функцията isotp_setsockopt(). при обработка на флага CAN_ISOTP_SF_BROADCAST.

След като ISOTP сокетът е затворен, обвързването към сокета на получателя остава в сила, което може да продължи да използва структурите, свързани със сокета, след като паметта, свързана с тях, бъде освободена (използване след освобождаване поради извикване на isotp_sock структура който вече е бил освободен при извикването на isotp_rcv(). Чрез манипулиране на данни можете да замените указателя към функцията sk_error_report() и да изпълните кода си на ниво ядро.

Източник: opennet.ru