Linux 커널 수준에서 코드 실행을 허용하는 eBPF 하위 시스템의 취약점

eBPF 하위 시스템에서 취약점(CVE-2021-4204)이 확인되었습니다. 이를 통해 JIT가 포함된 특수 가상 머신의 Linux 커널 내부에서 핸들러를 실행할 수 있으며, 권한이 없는 로컬 사용자가 권한 상승을 달성하고 해당 코드를 실행할 수 있습니다. 리눅스 커널 수준. 이 문제는 Linux 커널 5.8부터 나타났으며 수정되지 않은 상태로 남아 있습니다(릴리스 5.16 포함). 배포 문제를 해결하기 위해 생성되는 업데이트 상태는 Debian, RHEL, SUSE, Fedora, Ubuntu, Arch 페이지에서 추적할 수 있습니다. 18월 XNUMX일에 게시될 예정인 작동 가능한 익스플로잇이 생성되었다고 발표되었습니다(사용자와 개발자에게 취약점을 수정하는 데 일주일이 주어졌습니다).

이 취약점은 실행을 위해 전송된 eBPF 프로그램의 잘못된 검증으로 인해 발생합니다. eBPF 하위 시스템은 보조 기능을 제공하며, 이 기능의 올바른 사용은 특수 검증 프로그램을 통해 확인됩니다. 일부 함수에서는 PTR_TO_MEM 값을 인수로 전달해야 하며, 가능한 버퍼 오버플로를 방지하려면 검증자는 인수와 관련된 메모리 크기를 알아야 합니다. bpf_ringbuf_submit 및 bpf_ringbuf_discard 함수의 경우 전송된 메모리 크기에 대한 데이터가 검증자에게 보고되지 않았으며, 이는 특별히 설계된 eBPF 코드 실행 시 버퍼 경계를 넘어서는 메모리 영역을 덮어쓰는 데 사용될 수 있습니다.

공격을 수행하려면 사용자는 자신의 BPF 프로그램을 로드할 수 있어야 하며 최근의 많은 Linux 배포판에서는 기본적으로 이 기능을 차단합니다(릴리스 5.16부터 커널 자체에서 eBPF에 대한 권한 없는 액세스가 기본적으로 금지되는 것을 포함). 예를 들어, Ubuntu 20.04 LTS의 기본 구성에서는 취약점이 악용될 수 있지만 Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 및 Fedora 33 환경에서는 관리자가 설정한 경우에만 나타납니다. kernel.unprivileged_bpf_disabled 매개변수를 0으로 설정합니다. 취약점을 차단하기 위한 해결 방법으로 "sysctl -w kernel.unprivileged_bpf_disabled=1" 명령을 사용하여 권한 없는 사용자가 BPF 프로그램을 실행하는 것을 방지할 수 있습니다.

출처 : opennet.ru