פגיעות בתת-מערכת netfilter המאפשרת ביצוע קוד ברמת ליבת לינוקס

ל-Netfilter, תת-מערכת של ליבת לינוקס המשמשת לסינון ושינוי מנות רשת, ישנה פגיעות (CVE-2022-25636) המאפשרת ביצוע קוד ברמת הליבה. הוכרז כי הוכנה דוגמה לניצול המאפשר למשתמש מקומי להעלות את ההרשאות שלו באובונטו 21.10 כאשר מנגנון ההגנה KASLR מושבת. הבעיה מופיעה החל מגרעין 5.4. התיקון עדיין זמין כתיקון (מהדורות ליבה מתקנות לא נוצרו). אתה יכול לעקוב אחר הפרסומים של עדכוני חבילות בהפצות בדפים אלה: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.

הפגיעות נגרמת משגיאה בחישוב גודל מערך flow->rule->action.entries בפונקציית nft_fwd_dup_netdev_offload (מוגדרת בקובץ net/netfilter/nf_dup_netdev.c), מה שעלול להוביל לנתונים בשליטת תוקף. נכתב לאזור זיכרון מעבר לגבול המאגר המוקצה. השגיאה מופיעה בעת הגדרת כללי "dup" ו-"fwd" בשרשרות שעבורן נעשה שימוש בהאצת חומרה של עיבוד מנות (offload). מכיוון שהגלישה מתרחשת לפני יצירת כלל מסנן מנות ובדיקת תמיכה ב-offload, הפגיעות חלה גם על התקני רשת שאינם תומכים בהאצת חומרה, כגון ממשק loopback.

יש לציין שהבעיה די פשוטה לניצול, שכן ערכים החורגים מהמאגר יכולים לדרוס את המצביע למבנה net_device, ונתונים על הערך שהוחלף מוחזרים למרחב המשתמש, מה שמאפשר לך לגלות את הכתובות בזיכרון הדרוש לביצוע הפיגוע. ניצול הפגיעות מצריך יצירת כללים מסוימים ב-nftables, מה שמתאפשר רק עם הרשאות CAP_NET_ADMIN, שניתן להשיג על ידי משתמש חסר הרשאות במרחבי שמות נפרדים ברשת. ניתן להשתמש בפגיעות גם כדי לתקוף מערכות בידוד קונטיינרים.

מקור: OpenNet.ru