원격 커널 충돌을 허용하는 0일 Linux IPv6 스택 취약점

특별히 제작된 IPv0 패킷(죽음의 패킷)을 전송하여 시스템을 중지할 수 있는 Linux 커널의 패치되지 않은(2023일) 취약점(CVE-2156-6)에 대한 정보가 공개되었습니다. 이 문제는 RPL 프로토콜(Routing Protocol for Low-Power and Lossy Networks)에 대한 지원이 활성화된 경우에만 나타나며, 이는 배포판에서 기본적으로 비활성화되어 있으며 패킷 손실이 높은 무선 네트워크에서 작동하는 임베디드 장치에 주로 사용됩니다.

이 취약점은 RPL 프로토콜 구문 분석 코드에서 외부 데이터를 잘못 처리하여 어설션 실패 및 커널이 패닉 상태에 빠지는 것으로 인해 발생합니다. IPv6 RPL 패킷 헤더를 파싱한 결과 얻은 데이터를 k_buff(Socket Buffer) 구조체에 넣을 때 CmprI 필드가 15, Segleft 필드가 1, CmprE가 0이면 48 -byte 주소 벡터가 528바이트로 압축 해제되어 버퍼에 할당된 메모리가 부족한 상황입니다. 이 경우 데이터를 구조로 푸시하는 데 사용되는 skb_push 함수는 데이터와 버퍼의 불균형한 크기에 대한 검사를 실행하여 버퍼 덮어쓰기를 방지하기 위해 패닉 상태를 생성합니다.

익스플로잇 예: # Scapy를 사용하여 scapy.all에서 패킷을 제작합니다. import * import socket # LAN 인터페이스에서 IPv6를 사용합니다. DST_ADDR = sys.argv[1] SRC_ADDR = DST_ADDR # 소켓을 사용하여 패킷을 보냅니다. sockfd = socket.socket(socket.AF_INET6, socket.SOCK_RAW, socket.IPPROTO_RAW) # 패킷 작성 # Type = 3은 이것을 RPL 패킷으로 만듭니다. 압축된 주소로 취급 # Segleft = 3 증폭 트리거 # lastentry = 15xf1은 CmprI를 0로, CmprE를 0으로 설정합니다. :", "a15::", "a0::"], segleft=6, lastentry=6xf3) # 이 사악한 패킷을 보냅니다. sockfd.sendto(bytes(p), (DST_ADDR, 8))

커널 개발자는 2022년 15월에 취약점을 통보받았고 지난 2022개월 동안 2022년 2023월, XNUMX년 XNUMX월, XNUMX년 XNUMX월에 패치를 릴리스하여 문제를 해결하려고 세 번 시도했지만 매번 수정이 되지 않았습니다. 충분하고 취약점이 재현될 수 있었습니다. 궁극적으로 취약점 제거 작업을 조정한 ZDI 프로젝트는 커널에 작동하는 패치가 나타날 때까지 기다리지 않고 취약점에 대한 자세한 정보를 공개하기로 결정했습니다.

따라서 취약점은 아직 패치되지 않았습니다. 6.4-rc2 커널에 포함된 패치를 포함하는 것은 효과적이지 않습니다. 사용자는 시스템에서 RPL 프로토콜이 사용되고 있지 않은지 확인하는 것이 좋습니다. 이는 sysctl -a | grep -i rpl_seg_enabled

출처 : opennet.ru