פגיעות שורש בליבת לינוקס ומניעת שירות ב-systemd

חוקרי אבטחה מ-Qualys חשפו פרטים על שתי נקודות תורפה המשפיעות על ליבת לינוקס ומנהל המערכת. פגיעות בקרנל (CVE-2021-33909) מאפשרת למשתמש מקומי להשיג ביצוע קוד עם זכויות שורש באמצעות מניפולציה של ספריות מקוננות מאוד.

הסכנה של הפגיעות מחמירה על ידי העובדה שהחוקרים הצליחו להכין ניצול עבודה שעובד על אובונטו 20.04/20.10/21.04, דביאן 11 ופדורה 34 בתצורת ברירת המחדל. יצוין כי הפצות אחרות לא נבדקו, אך תיאורטית הן גם רגישות לבעיה וניתנות לתקיפה. הקוד המלא של הניצול מובטח להתפרסם לאחר שהבעיה תבוטל בכל מקום, אך לעת עתה זמין רק אב טיפוס של פונקציונליות מוגבלת, מה שגורם למערכת לקרוס. הבעיה קיימת מאז יולי 2014 ומשפיעה על מהדורות ליבה החל מ-3.16. תיקון הפגיעות תואם עם הקהילה והתקבל לגרעין ב-19 ביולי. ההפצות העיקריות כבר יצרו עדכונים לחבילות הליבה שלהן (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch).

הפגיעות נגרמת כתוצאה מאי בדיקת התוצאה של המרה של size_t ל-int לפני ביצוע פעולות בקוד seq_file, שיוצר קבצים מרצף רשומות. אי בדיקה עלולה לגרום לכתיבה מחוץ לתחום למאגר בעת יצירה, הרכבה ומחיקה של מבנה ספריות מקונן מאוד (גודל נתיב גדול מ-1 GB). כתוצאה מכך, תוקף יכול להשיג מחרוזת "//deleted" של 10 בתים הכתובה בהיסט של "-2 GB - 10 בתים" המצביעה על האזור שמיד לפני המאגר המוקצה.

הניצול המוכן דורש 5 ג'יגה-בייט של זיכרון ומיליון אינודים פנויים כדי לפעול. הניצול פועל על ידי קריאה ל-mkdir() כדי ליצור היררכיה של כמיליון ספריות משנה כדי להשיג גודל נתיב קובץ העולה על 1 GB. ספרייה זו נטענת באמצעות bind-mount במרחב שמות משתמש נפרד, ולאחר מכן מופעלת הפונקציה rmdir() כדי להסיר אותה. במקביל, נוצר שרשור הטוען תוכנית eBPF קטנה, שנחסמת בשלב שלאחר בדיקת הפסאודוקוד eBPF, אך לפני הידור ה-JIT שלה.

במרחב השמות ללא הרשאות משתמש, הקובץ /proc/self/mountinfo נפתח ונקרא שם הנתיב הארוך של ספריית ה-bind-mounted, וכתוצאה מכך המחרוזת "//deleted" נכתבת לאזור לפני תחילת המאגר. המיקום לכתיבת השורה נבחר כך שהוא יחליף את ההוראה בתוכנית eBPF שכבר נבדקה אך עדיין לא הידור.

בשלב הבא, ברמת תוכנית eBPF, כתיבה לא מבוקרת מחוץ למאגר הופכת ליכולת מבוקרת לקרוא ולכתוב למבני קרנל אחרים באמצעות מניפולציה של מבני btf ו-map_push_elem. כתוצאה מכך, ה-exploit קובע את מיקומו של מאגר modprobe_path[] בזיכרון הליבה ומחליף את הנתיב "/sbin/modprobe" בו, מה שמאפשר לך ליזום השקה של כל קובץ הפעלה עם זכויות שורש במקרה של request_module() call, אשר מבוצעת, למשל, בעת יצירת שקע netlink.

החוקרים מספקים מספר דרכים לעקיפת הבעיה שיעילות רק עבור ניצול ספציפי, אך לא מבטלת את הבעיה עצמה. מומלץ להגדיר את "/proc/sys/kernel/unprivileged_userns_clone" ל-0 כדי לבטל את העלאת ספריות במרחב שמות נפרד של מזהה משתמש, ואת "/proc/sys/kernel/unprivileged_bpf_disabled" ל-1 כדי לבטל טעינת תוכניות eBPF לתוך הליבה.

ראוי לציין שבזמן ניתוח מתקפה חלופית הכוללת שימוש במנגנון FUSE במקום bind-mound להרכבת ספרייה גדולה, החוקרים נתקלו בפגיעות נוספת (CVE-2021-33910) המשפיעה על מנהל המערכת של המערכת. התברר שכאשר מנסים להעלות ספריה בגודל נתיב העולה על 8MB באמצעות FUSE, תהליך אתחול הבקרה (PID1) אוזל מזיכרון המחסנית וקריסה, מה שמכניס את המערכת למצב "פאניקה".

הבעיה היא ש-systemd עוקב ומנתח את התוכן של /proc/self/mountinfo, ומעבד כל נקודת הרכבה בפונקציה unit_name_path_escape(), אשר מבצעת פעולת strdupa() שממקמת את הנתונים על המחסנית ולא בזיכרון שהוקצה דינמית . מכיוון שגודל המחסנית המקסימלי מוגבל באמצעות RLIMIT_STACK, עיבוד נתיב גדול מדי לנקודת ההרכבה גורם לתהליך PID1 לקרוס ולעצור את המערכת. עבור התקפה, אתה יכול להשתמש במודול FUSE הפשוט ביותר בשילוב עם שימוש בספרייה מקוננת מאוד כנקודת הרכבה, שגודל הנתיב שלה עולה על 8 MB.

הבעיה מופיעה מאז systemd 220 (אפריל 2015), כבר תוקנה במאגר systemd הראשי ותוקנה בהפצות (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch). יש לציין שבמהדורה מערכתית 248 הניצול לא עובד בגלל באג בקוד המערכת שגורם לעיבוד של /proc/self/mountinfo להיכשל. מעניין גם שבשנת 2018, נוצר מצב דומה וכאשר ניסו לכתוב ניצול לפגיעות CVE-2018-14634 בליבת לינוקס, חוקרי Qualys נתקלו בשלוש פרצות קריטיות ב-systemd.

מקור: OpenNet.ru