Cryptsetup бумасында Linux жүйесінде диск бөлімдерін шифрлау үшін пайдаланылатын осалдық (CVE-2021-4122) анықталды, ол метадеректерді өзгерту арқылы LUKS2 (Linux Unified Key Setup) пішіміндегі бөлімдерде шифрлауды өшіруге мүмкіндік береді. Осалдықты пайдалану үшін шабуылдаушы шифрланған медиаға физикалық рұқсаты болуы керек, яғни. Әдіс негізінен шабуылдаушы қол жеткізе алатын, бірақ деректерді шифрын ашу үшін құпия сөзді білмейтін Flash дискілері сияқты шифрланған сыртқы жад құрылғыларына шабуылдау үшін мағынасы бар.
Шабуыл тек LUKS2 пішіміне қатысты және қол жеткізу кілтін өзгерту қажет болған жағдайда деректерді жылдам шифрлау процесін бастауға мүмкіндік беретін «онлайн қайта шифрлау» кеңейтімін белсендіруге жауапты метадеректерді манипуляциялаумен байланысты. бөліммен жұмысты тоқтатпай. Жаңа кілтпен шифрды шешу және шифрлау процесі көп уақытты алатындықтан, «онлайн қайта шифрлау» бөліммен жұмысты үзбеуге және фондық режимде қайта шифрлауды орындауға мүмкіндік береді, деректерді бір кілттен екіншісіне біртіндеп қайта шифрлайды. . Сондай-ақ бөлімді шифрланған пішінге түрлендіруге мүмкіндік беретін бос мақсатты кілтті таңдауға болады.
Шабуылдаушы LUKS2 метадеректеріне қате нәтижесінде шифрды шешу әрекетінің тоқтатылуын модельдейтін өзгерістер енгізе алады және өзгертілген дискіні иесі белсендіргеннен және пайдаланғаннан кейін бөлімнің бір бөлігін шифрдан шығаруға қол жеткізе алады. Бұл жағдайда өзгертілген дискіні қосқан және оны дұрыс құпия сөзбен ашқан пайдаланушы үзілген қайта шифрлау әрекетін қалпына келтіру процесі туралы ешқандай ескерту алмайды және тек «luks Dump» көмегімен осы операцияның барысы туралы біле алады. пәрмен. Зиянкестердің шифрын шеше алатын деректер көлемі LUKS2 тақырыбының өлшеміне байланысты, бірақ әдепкі өлшемде (16 МБ) ол 3 ГБ-тан асуы мүмкін.
Мәселе қайта шифрлау жаңа және ескі кілттердің хэштерін есептеуді және тексеруді қажет етсе де, егер жаңа күй шифрлау үшін ашық мәтін кілтінің жоқтығын білдіретін болса, шифрды шешуді бастау үшін хэш қажет емес екендігіне байланысты. Сонымен қатар, шифрлау алгоритмін көрсететін LUKS2 метадеректері, егер ол шабуылдаушының қолына түссе, өзгертуден қорғалмайды. Осалдықты блоктау үшін әзірлеушілер LUKS2-ге метадеректерге қосымша қорғаныс қосты, ол үшін қазір белгілі кілттер мен метадеректер мазмұнына негізделген қосымша хэш тексеріледі, яғни. шабуылдаушы енді шифрды шешу құпия сөзін білмей, метадеректерді жасырын түрде өзгерте алмайды.
Әдеттегі шабуыл сценарийі шабуылдаушының дискіге бірнеше рет қолдарын алуын талап етеді. Біріншіден, кіру құпия сөзін білмейтін шабуылдаушы метадеректер аймағына өзгерістер енгізіп, диск келесі рет іске қосылғанда деректердің бір бөлігінің шифрын ашуды іске қосады. Содан кейін диск өз орнына қайтарылады және шабуылдаушы пайдаланушы құпия сөзді енгізу арқылы оны қосқанша күтеді. Құрылғыны пайдаланушы іске қосқан кезде, шифрланған деректердің бөлігі шифрланған деректермен ауыстырылатын фондық қайта шифрлау процесі басталады. Әрі қарай, егер шабуылдаушы құрылғыны қайтадан қолына алса, дискідегі деректердің бір бөлігі шифрланған түрде болады.
Мәселе cryptsetup жобасының қолдаушысы арқылы анықталды және cryptsetup 2.4.3 және 2.3.7 жаңартуларында түзетілді. Таратулардағы мәселені шешу үшін жасалып жатқан жаңартулардың күйін мына беттерде бақылауға болады: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Осалдық «онлайн қайта шифрлау» операциясын қолдауды енгізген cryptsetup 2.2.0 шығарылымынан кейін ғана пайда болады. Қорғаудың уақытша шешімі ретінде «--disable-luks2-reencryption» опциясымен іске қосуды пайдалануға болады.
Ақпарат көзі: opennet.ru