নেটফিল্টার সাবসিস্টেমের দুর্বলতা যা লিনাক্স কার্নেল স্তরে কোড কার্যকর করার অনুমতি দেয়

নেটফিল্টারে একটি দুর্বলতা (CVE-2022-25636) চিহ্নিত করা হয়েছে, একটি লিনাক্স কার্নেল সাবসিস্টেম যা নেটওয়ার্ক প্যাকেটগুলিকে ফিল্টার এবং সংশোধন করতে ব্যবহৃত হয়, যা কার্নেল স্তরে কোড সম্পাদনের অনুমতি দিতে পারে। একটি শোষণের একটি উদাহরণ যা স্থানীয় ব্যবহারকারীকে উবুন্টু 21.10-এ KASLR সুরক্ষা ব্যবস্থা অক্ষম করে তাদের বিশেষাধিকারগুলিকে উন্নত করার অনুমতি দেয়। সমস্যাটি কার্নেল 5.4 দিয়ে শুরু হয়। ফিক্সটি এখনও একটি প্যাচ হিসাবে উপলব্ধ (সংশোধনমূলক কার্নেল রিলিজ গঠিত হয়নি)। আপনি এই পৃষ্ঠাগুলিতে বিতরণে প্যাকেজ আপডেটের প্রকাশনা অনুসরণ করতে পারেন: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux।

nft_fwd_dup_netdev_offload ফাংশনে (net/netfilter/nf_dup_netdev.c ফাইলে সংজ্ঞায়িত) flow->rule->action.entries অ্যারের আকার গণনা করার ক্ষেত্রে একটি ত্রুটির কারণে দুর্বলতা সৃষ্টি হয়, যার ফলে আক্রমণকারী-নিয়ন্ত্রিত ডেটা হতে পারে বরাদ্দকৃত বাফারের বাইরে একটি মেমরি এলাকায় লেখা। প্যাকেট প্রক্রিয়াকরণের হার্ডওয়্যার ত্বরণ (অফলোড) ব্যবহার করার জন্য চেইনগুলিতে "dup" এবং "fwd" নিয়মগুলি সেট করার সময় ত্রুটিটি নিজেকে প্রকাশ করে। যেহেতু প্যাকেট ফিল্টার নিয়ম তৈরি হওয়ার আগে ওভারফ্লো ঘটে এবং অফলোড সমর্থন চেক করা হয়, তাই দুর্বলতা নেটওয়ার্ক ডিভাইসগুলির ক্ষেত্রেও প্রযোজ্য যা হার্ডওয়্যার ত্বরণকে সমর্থন করে না, যেমন লুপব্যাক ইন্টারফেস।

এটি উল্লেখ করা হয়েছে যে সমস্যাটি ব্যবহার করা বেশ সহজ, কারণ যে মানগুলি বাফারের বাইরে যায় সেগুলি পয়েন্টারটিকে net_device কাঠামোতে ওভাররাইট করতে পারে এবং ওভাররাইট করা মান সম্পর্কে ডেটা ব্যবহারকারীর স্পেসে ফেরত দেওয়া হয়, যা এটি খুঁজে বের করা সম্ভব করে তোলে আক্রমণ চালানোর জন্য প্রয়োজনীয় মেমরিতে ঠিকানা। দুর্বলতার শোষণের জন্য nftables-এ কিছু নিয়ম তৈরি করা প্রয়োজন, যা শুধুমাত্র CAP_NET_ADMIN বিশেষাধিকারের সাথেই সম্ভব, যা একটি পৃথক নেটওয়ার্ক নামস্থানে (নেটওয়ার্ক নেমস্পেস) একটি সুবিধাবিহীন ব্যবহারকারীর দ্বারা প্রাপ্ত করা যেতে পারে। দুর্বলতা ধারক বিচ্ছিন্নতা সিস্টেম আক্রমণ করতে ব্যবহার করা যেতে পারে.

উত্স: opennet.ru