נקודות תורפה ניתנות לניצול ב-nf_tables, watch_queue ו-IPsec זוהו בליבת לינוקס

זוהו מספר נקודות תורפה מסוכנות בליבת לינוקס המאפשרות למשתמש מקומי להגדיל את ההרשאות שלו במערכת. אבות טיפוס עובדים של ניצולים הוכנו לכל הבעיות הנחשבות.

• פגיעות (CVE-2022-0995) בתת-מערכת מעקב אחר אירועים watch_queue מאפשרת לכתוב נתונים למאגר מחוץ לתחום בזיכרון הליבה. ההתקפה יכולה להתבצע על ידי כל משתמש חסר הרשאות ולגרום לכך שהקוד שלו פועל עם זכויות ליבה. הפגיעות קיימת בפונקציה watch_queue_set_size() ומשויכת לניסיון לנקות את כל המצביעים ברשימה, גם אם לא הוקצה להם זיכרון. הבעיה מתרחשת בעת בניית הליבה עם האפשרות "CONFIG_WATCH_QUEUE=y", המשמשת ברוב ההפצות של לינוקס.

  הפגיעות טופלה בשינוי ליבה שהתווסף ב-11 במרץ. אתה יכול לעקוב אחר הפרסומים של עדכוני חבילות בהפצות בדפים אלה: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux. אב-טיפוס ה-exploit כבר זמין לציבור ומאפשר לך לקבל גישת שורש כאשר פועל על אובונטו 21.10 עם ליבה 5.13.0-37.

  

• פגיעות (CVE-2022-27666) במודולי ליבת esp4 ו-esp6 עם הטמעת טרנספורמציות ESP (Encapsulating Security Payload) עבור IPsec, בשימוש בעת שימוש ב-IPv4 ו-IPv6. הפגיעות מאפשרת למשתמש מקומי עם הרשאות רגילות להחליף אובייקטים בזיכרון הליבה ולהסלים את ההרשאות שלהם במערכת. הבעיה נגרמת מחוסר התאמה בין גודל הזיכרון שהוקצה לנתונים שהתקבלו בפועל, בהתחשב בכך שגודל ההודעה המקסימלי יכול לחרוג מגודל הזיכרון המרבי שהוקצה למבנה skb_page_frag_refill.

  הפגיעות תוקנה בקרנל ב-7 במרץ (תוקנה ב-5.17, 5.16.15 וכו'). אתה יכול לעקוב אחר הפרסומים של עדכוני חבילות בהפצות בדפים אלה: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux. אב טיפוס עובד של הניצול, המאפשר למשתמש רגיל לקבל גישת שורש ל-Ubuntu Desktop 21.10 בתצורת ברירת המחדל, כבר פורסם ב-GitHub. טוענים שעם שינויים קלים הניצול יעבוד גם על פדורה ודביאן. ראוי לציין כי הניצול הוכן במקור לתחרות pwn2own 2022, אך מפתחי הליבה זיהו ותיקנו באג הקשור אליו, ולכן הוחלט לחשוף את פרטי הפגיעות.

• שתי נקודות תורפה (CVE-2022-1015, CVE-2022-1016) בתת-מערכת netfilter במודול nf_tables, המבטיח את פעולת מסנן המנות nftables. הבעיה הראשונה מאפשרת למשתמש מקומי ללא הרשאות להשיג כתיבה מחוץ לתחום למאגר שהוקצה בערימה. גלישה מתרחשת כאשר מעבדים ביטויי nftables המעוצבים בצורה מסוימת ומעובדים במהלך שלב הבדיקה של אינדקסים שצוין על ידי משתמש שיש לו גישה לכללי nftables.

  הפגיעות נגרמת מהעובדה שהמפתחים רמזו שהערך של "enum nft_registers reg" הוא בייט בודד, כאשר כאשר אופטימיזציות מסוימות היו מופעלות, המהדר, על פי מפרט C89, יכול להשתמש בערך של 32 סיביות עבורו . בשל תכונה זו, הגודל המשמש בעת בדיקה והקצאת זיכרון אינו תואם את הגודל האמיתי של הנתונים במבנה, מה שמוביל לכך שזנב המבנה חופף עם מצביעים על הערימה.

  ניתן לנצל את הבעיה לביצוע קוד ברמת הקרנל, אך התקפה מוצלחת דורשת גישה ל-nftables, שניתן להשיג במרחב שמות רשת נפרד עם זכויות CLONE_NEWUSER או CLONE_NEWNET (לדוגמה, אם אתה יכול להריץ קונטיינר מבודד). הפגיעות קשורה קשר הדוק גם לאופטימיזציות המשמשות את המהדר, אשר, למשל, מופעלות בעת בנייה במצב "CONFIG_CC_OPTIMIZE_FOR_PERFORMANCE=y". ניצול הפגיעות אפשרי החל מגרסת Linux 5.12.

  הפגיעות השנייה ב-netfilter נגרמת על ידי גישה לאזור זיכרון משוחרר כבר (use-after-free) במטפל nft_do_chain ויכולה להוביל לדליפה של אזורים לא מאותחלים של זיכרון הליבה, שניתן לקרוא באמצעות מניפולציות עם ביטויי nftables ולהשתמש בהם, לדוגמה, כדי לקבוע כתובות מצביעים במהלך ניצול פיתוח עבור פגיעויות אחרות. ניצול הפגיעות אפשרי החל מגרסת Linux 5.13.

  הפגיעויות מטופלות בתיקוני הליבה של היום 5.17.1, 5.16.18, 5.15.32, 5.10.109, 5.4.188, 4.19.237, 4.14.274 ו-4.9.309. אתה יכול לעקוב אחר הפרסומים של עדכוני חבילות בהפצות בדפים אלה: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux. החוקר שזיהה את הבעיות הודיע ​​על הכנת ניצול עבודה עבור שתי הפגיעויות, שמתוכננות להתפרסם בעוד מספר ימים, לאחר שההפצות ישחררו עדכונים לחבילות הקרנל.

מקור: OpenNet.ru