פגיעות של 0 ימים במנהל ההתקן של n_gsm, המאפשרת ביצוע קוד ברמת ליבת לינוקס

שני ניצולים התגלו ברשות הציבור הכוללים פגיעות שלא הייתה ידועה בעבר במנהל ההתקן של n_gsm, שהוא חלק מליבת לינוקס. הפגיעות מאפשרת למשתמש מקומי ללא הרשאות לבצע קוד ברמת הקרנל ולהסלים את ההרשאות שלו במערכת. לא הוקצה מזהה CVE. הבעיה נותרה לא מתוקנת לעת עתה.

מנהל ההתקן n_gsm מספק יישום של פרוטוקול GSM 07.10, המשמש במודמי GSM לריבוי חיבורים ליציאה הטורית. הפגיעות נובעת ממצב מירוץ במטפל GSMIOC_SETCONF_DLCI ב-ioctl המשמש לעדכון תצורת ה-Data Link Connection Identifier (DLCI). באמצעות מניפולציות עם ioctl, אתה יכול להשיג גישה לזיכרון לאחר שהוא משוחרר (שימוש-אחר-חופשי).

ניתן להשתמש ב-exploit במערכות עם ליבות לינוקס מ-5.15 עד 6.5. לדוגמה, גישת שורש מוצלחת הוכחה ב-Fedora, אובונטו 22.04 עם ליבת 6.5, ודביאן 12 עם ליבת 6.1. החל מגרעין 6.6, נדרשות הרשאות CAP_NET_ADMIN לפעולה. כפתרון עוקף לחסימת הפגיעות, אתה יכול למנוע טעינה אוטומטית של מודול ליבת n_gsm על ידי הוספת השורה "blacklist n_gsm" לקובץ /etc/modprobe.d/blacklist.conf.

ראוי לציין כי בינואר נחשף מידע על נקודת תורפה נוספת (CVE-2023-6546) במנהל ההתקן של n_gsm, שעבורה גם ניצול זמין לציבור. פגיעות זו אינה חופפת לבעיה הראשונה, אם כי היא נגרמת גם על ידי גישה לזיכרון לאחר חופש בעבודה עם מבנה gsm_dlci, אלא במטפל GSMIOC_SETCONF ioctl. הבעיה תוקנה באוגוסט בשנה שעברה (התיקון נכלל בקרנל 6.5).

מקור: OpenNet.ru