In Netfilter, un sottosistema del kernel LinuxÈ stata identificata una vulnerabilità (CVE-2022-25636) in uno strumento di filtraggio e modifica dei pacchetti di rete che consente l'esecuzione di codice a livello kernel. È stato reso noto un esempio di exploit che potrebbe consentire a un utente locale di elevare i propri privilegi. Ubuntu 21.10 c отключённым механизмом защиты KASLR. Проблема проявляется начиная с ядра 5.4. Исправление пока доступно в виде патча (корректирующие выпуски ядра не сформированы). Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
La vulnerabilità è causata da un errore nel calcolo della dimensione dell'array flow->rule->action.entries nella funzione nft_fwd_dup_netdev_offload (definita nel file net/netfilter/nf_dup_netdev.c), che può portare alla sottrazione di dati controllati dall'aggressore scritto in un'area di memoria oltre il limite del buffer allocato. L'errore appare quando si configurano le regole “dup” e “fwd” in catene per le quali viene utilizzata l'accelerazione hardware dell'elaborazione dei pacchetti (offload). Poiché l'overflow si verifica prima della creazione di una regola di filtro dei pacchetti e della verifica del supporto per l'offload, la vulnerabilità si applica anche ai dispositivi di rete che non supportano l'accelerazione hardware, come un'interfaccia di loopback.
Si noti che il problema è abbastanza semplice da sfruttare, poiché i valori che vanno oltre il buffer possono sovrascrivere il puntatore alla struttura net_device e i dati sul valore sovrascritto vengono restituiti allo spazio utente, che consente di scoprire gli indirizzi nella memoria necessaria per effettuare l'attacco. Lo sfruttamento della vulnerabilità richiede la creazione di determinate regole in nftables, cosa possibile solo con i privilegi CAP_NET_ADMIN, che possono essere ottenuti da un utente non privilegiato in spazi dei nomi di rete separati. La vulnerabilità può essere utilizzata anche per attaccare i sistemi di isolamento dei container.
Fonte: opennet.ru
