נקודות תורפה בתת-מערכת eBPF המאפשרות ביצוע קוד ברמת ליבת לינוקס

שתי נקודות תורפה חדשות זוהו בתת המערכת eBPF, המאפשרת להריץ מטפלים בתוך ליבת לינוקס במכונה וירטואלית מיוחדת עם JIT. שתי הפגיעויות מאפשרות להפעיל את הקוד שלך עם זכויות ליבה, מחוץ למכונה וירטואלית eBPF מבודדת. מידע על הבעיות פורסם על ידי צוות Zero Day Initiative, המפעיל את תחרות Pwn2Own, שבמהלכה הוכחו השנה שלוש התקפות על אובונטו לינוקס שהשתמשו בפרצות שלא היו ידועות עד כה (האם לא דווח האם הפגיעויות ב-eBPF קשורות להתקפות אלו) .

• CVE-2021-3490 - הפגיעות נגרמת מהיעדר בדיקת 32 סיביות מחוץ לתחום בעת ביצוע פעולות AND, OR ו-XOR ב-eBPF ALU32. תוקף יכול לנצל את השגיאה הזו כדי לקרוא ולכתוב נתונים מחוץ לגבולות המאגר המוקצה. הבעיה בפעולות XOR מופיעה החל מגרסת ליבה 5.7-rc1, ו-AND ו-OR - החל מ-5.10-rc1.
• CVE-2021-3489 - הפגיעות נגרמת משגיאה ביישום מאגר הטבעת ונובעת מכך שהפונקציה bpf_ringbuf_reserve לא בדקה את האפשרות שגודל אזור הזיכרון שהוקצה יכול להיות קטן מהגודל האמיתי של הרינגבאף. הבעיה מופיעה מאז גרסה 5.8-rc1.

ניתן לעקוב אחר המצב של תיקון פגיעויות בהפצות בדפים אלה: אובונטו, דביאן, RHEL, Fedora, SUSE, Arch). תיקונים זמינים גם כתיקונים (CVE-2021-3489, CVE-2021-3490). האם ניתן לנצל את הבעיה תלויה בשאלה אם קריאת מערכת eBPF נגישה למשתמש. לדוגמה, בתצורת ברירת המחדל ב-RHEL, ניצול הפגיעות דורש מהמשתמש זכויות CAP_SYS_ADMIN.

בנפרד, אנו יכולים לציין פגיעות נוספת בליבת לינוקס - CVE-2021-32606, המאפשרת למשתמש מקומי להעלות את ההרשאות שלו לרמת השורש. הבעיה ניכרת מאז ליבת לינוקס 5.11 והיא נגרמת ממצב מירוץ ביישום פרוטוקול CAN ISOTP, המאפשר לשנות את פרמטרי ה-socket binding עקב היעדר הגדרת המנעולים המתאימים בפונקציית isotp_setsockopt() בעת עיבוד דגל CAN_ISOTP_SF_BROADCAST.

לאחר סגירת שקע ISOTP, הקישור לשקע הנמען נשאר בתוקף, אשר יכול להמשיך להשתמש במבנים המשויכים לשקע לאחר שחרור הזיכרון המשויך אליהם (use-after-free עקב הקריאה למבנה isotp_sock שכבר שוחרר כאשר נקרא isotp_rcv()). באמצעות מניפולציה של נתונים, אתה יכול לעקוף את המצביע לפונקציה sk_error_report() ולהפעיל את הקוד שלך ברמת הקרנל.

מקור: OpenNet.ru