Mae bregusrwydd (CVE-2021-4122) wedi'i nodi yn y pecyn Cryptsetup, a ddefnyddir i amgryptio rhaniadau disg yn Linux, sy'n caniatáu i amgryptio gael ei analluogi ar raniadau yn y fformat LUKS2 (Linux Unified Key Setup) trwy addasu metadata. Er mwyn manteisio ar y bregusrwydd, rhaid i'r ymosodwr gael mynediad corfforol i'r cyfryngau wedi'u hamgryptio, h.y. Mae'r dull yn gwneud synnwyr yn bennaf ar gyfer ymosod ar ddyfeisiau storio allanol wedi'u hamgryptio, megis gyriannau Flash, y mae gan yr ymosodwr fynediad iddynt ond nad yw'n gwybod y cyfrinair i ddadgryptio'r data.
Mae'r ymosodiad yn berthnasol ar gyfer fformat LUKS2 yn unig ac mae'n gysylltiedig â thrin metadata sy'n gyfrifol am actifadu'r estyniad “ailgryptio ar-lein”, sy'n caniatáu, os oes angen newid yr allwedd mynediad, i gychwyn y broses o ail-amgryptio data ar y hedfan heb stopio gweithio gyda'r rhaniad. Gan fod y broses o ddadgryptio ac amgryptio gydag allwedd newydd yn cymryd llawer o amser, mae "ailgryptio ar-lein" yn ei gwneud hi'n bosibl peidio â thorri ar draws gwaith gyda'r rhaniad a pherfformio ail-amgryptio yn y cefndir, gan ail-amgryptio data yn raddol o un allwedd i'r llall . Mae hefyd yn bosibl dewis allwedd targed gwag, sy'n eich galluogi i drosi'r adran yn ffurf wedi'i dadgryptio.
Gall ymosodwr wneud newidiadau i fetadata LUKS2 sy'n efelychu erthyliad y gweithrediad dadgryptio o ganlyniad i fethiant a chyflawni dadgryptio rhan o'r rhaniad ar ôl actifadu a defnyddio'r gyriant wedi'i addasu gan y perchennog. Yn yr achos hwn, nid yw'r defnyddiwr sydd wedi cysylltu'r gyriant wedi'i addasu a'i ddatgloi gyda'r cyfrinair cywir yn derbyn unrhyw rybudd am y broses o adfer y gweithrediad ail-amgryptio y torrwyd ar ei draws a dim ond trwy ddefnyddio'r “luks Dump” y gall ddod i wybod am gynnydd y llawdriniaeth hon. gorchymyn. Mae faint o ddata y gall ymosodwr ei ddadgryptio yn dibynnu ar faint y pennawd LUKS2, ond ar y maint rhagosodedig (16 MiB) gall fod yn fwy na 3 GB.
Achosir y broblem gan y ffaith, er bod ail-amgryptio yn gofyn am gyfrifo a gwirio hashes o'r allweddi hen a newydd, nid oes angen hash i ddechrau dadgryptio os yw'r cyflwr newydd yn awgrymu absenoldeb allwedd testun plaen ar gyfer amgryptio. Yn ogystal, nid yw metadata LUKS2, sy'n nodi'r algorithm amgryptio, wedi'i ddiogelu rhag cael ei addasu os yw'n syrthio i ddwylo ymosodwr. Er mwyn atal y bregusrwydd, ychwanegodd y datblygwyr amddiffyniad ychwanegol ar gyfer metadata i LUKS2, y mae hash ychwanegol bellach yn cael ei wirio ar ei gyfer, wedi'i gyfrifo yn seiliedig ar allweddi hysbys a chynnwys metadata, h.y. ni all ymosodwr newid metadata yn llechwraidd mwyach heb wybod y cyfrinair dadgryptio.
Mae senario ymosodiad nodweddiadol yn ei gwneud yn ofynnol i'r ymosodwr allu cael ei ddwylo ar y gyriant sawl gwaith. Yn gyntaf, mae ymosodwr nad yw'n gwybod y cyfrinair mynediad yn gwneud newidiadau i'r ardal metadata, gan sbarduno dadgryptio rhan o'r data y tro nesaf y bydd y gyriant yn cael ei actifadu. Yna dychwelir y gyriant i'w le ac mae'r ymosodwr yn aros nes bod y defnyddiwr yn ei gysylltu trwy nodi cyfrinair. Pan fydd y ddyfais yn cael ei actifadu gan y defnyddiwr, dechreuir proses ail-amgryptio cefndir, ac yn ystod y cyfnod hwn mae rhan o'r data wedi'i amgryptio yn cael ei ddisodli gan ddata dadgryptio. Ymhellach, os bydd yr ymosodwr yn llwyddo i gael ei ddwylo ar y ddyfais eto, bydd rhywfaint o'r data ar y gyriant ar ffurf dadgryptio.
Nodwyd y broblem gan gynhaliwr y prosiect cryptsetup a'i gosod yn y diweddariadau cryptsetup 2.4.3 a 2.3.7. Gellir olrhain statws diweddariadau sy'n cael eu cynhyrchu i ddatrys y broblem mewn dosbarthiadau ar y tudalennau hyn: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Dim ond ers rhyddhau cryptsetup 2.2.0 y mae'r bregusrwydd yn ymddangos, a gyflwynodd gefnogaeth i'r gweithrediad “ailgryptio ar-lein”. Fel ateb i'r amddiffyniad, gellir defnyddio lansio gyda'r opsiwn “--disable-luks2-reencryption”.
Ffynhonnell: opennet.ru