Linux 커널의 루트 취약점 및 systemd의 서비스 거부

Qualys의 보안 연구원들은 Linux 커널과 systemd 시스템 관리자에 영향을 미치는 두 가지 취약점에 대한 세부 정보를 공개했습니다. 커널의 취약점(CVE-2021-33909)으로 인해 로컬 사용자가 고도로 중첩된 디렉터리를 조작하여 루트 권한으로 코드를 실행할 수 있습니다.

연구원들이 기본 구성의 Ubuntu 20.04/20.10/21.04, Debian 11 및 Fedora 34에서 작동하는 익스플로잇을 준비할 수 있었다는 사실로 인해 취약점의 위험이 더욱 가중되었습니다. 다른 배포판은 테스트되지 않았지만 이론적으로 문제에 취약하고 공격을 받을 수 있다는 점에 유의하세요. 모든 곳에서 문제가 제거된 후 익스플로잇의 전체 코드가 게시될 것이라고 약속되었지만 현재는 기능이 제한된 프로토타입만 사용할 수 있어 시스템 충돌이 발생합니다. 이 문제는 2014년 3.16월부터 발생했으며 19부터 시작되는 커널 릴리스에 영향을 미칩니다. 취약점 수정은 커뮤니티와 협력하여 XNUMX월 XNUMX일에 커널에 승인되었습니다. 주요 배포판에서는 이미 커널 패키지(Debian, Ubuntu, Fedora, RHEL, SUSE, Arch)에 대한 업데이트를 생성했습니다.

이 취약점은 일련의 레코드에서 파일을 생성하는 seq_file 코드에서 작업을 수행하기 전에 size_t에서 int로의 변환 결과를 확인하지 못하여 발생합니다. 확인하지 않으면 매우 중첩된 디렉터리 구조(1GB보다 큰 경로 크기)를 생성, 마운트 및 삭제할 때 버퍼에 대한 범위를 벗어난 쓰기가 발생할 수 있습니다. 결과적으로 공격자는 할당된 버퍼 바로 앞 영역을 가리키는 "-10GB - 2바이트"의 오프셋에 기록된 10바이트 문자열 "//삭제"를 얻을 수 있습니다.

준비된 익스플로잇이 작동하려면 5GB의 메모리와 1백만 개의 여유 inode가 필요합니다. 이 익스플로잇은 mkdir()을 호출하여 약 백만 개의 하위 디렉터리 계층을 생성하여 1GB를 초과하는 파일 경로 크기를 달성하는 방식으로 작동합니다. 이 디렉토리는 별도의 사용자 네임스페이스에 바인드 마운트를 통해 마운트된 후 rmdir() 함수를 실행하여 제거합니다. 동시에, eBPF 의사 코드를 확인한 후 JIT 컴파일 전에 단계에서 차단되는 작은 eBPF 프로그램을 로드하는 스레드가 생성됩니다.

권한이 없는 사용자 ID 네임스페이스에서 /proc/self/mountinfo 파일이 열리고 바인드 마운트된 디렉토리의 긴 경로 이름이 읽혀지며, 결과적으로 버퍼 시작 전 영역에 "//deleted" 문자열이 기록됩니다. 라인 쓰기 위치는 이미 테스트되었지만 아직 컴파일되지 않은 eBPF 프로그램의 명령어를 덮어쓰도록 선택됩니다.

다음으로 eBPF 프로그램 수준에서 제어되지 않은 버퍼 외부 쓰기는 btf 및 map_push_elem 구조의 조작을 통해 다른 커널 구조를 읽고 쓸 수 있는 제어된 기능으로 변환됩니다. 결과적으로 이 익스플로잇은 커널 메모리에서 modprobe_path[] 버퍼의 위치를 ​​확인하고 그 안에 있는 "/sbin/modprobe" 경로를 덮어씁니다. 예를 들어 netlink 소켓을 생성할 때 실행되는 request_module() 호출입니다.

연구원들은 특정 악용에만 효과적인 몇 가지 해결 방법을 제공하지만 문제 자체를 제거하지는 않습니다. 별도의 사용자 ID 네임스페이스에 디렉터리 마운트를 비활성화하려면 "/proc/sys/kernel/unprivileged_userns_clone"을 0으로 설정하고, eBPF 프로그램을 커널에 로드하지 않으려면 "/proc/sys/kernel/unprivileged_bpf_disabled"를 1로 설정하는 것이 좋습니다.

연구원들은 대규모 디렉터리를 마운트하기 위해 바인드 마운드 대신 FUSE 메커니즘을 사용하는 대체 공격을 분석하는 동안 systemd 시스템 관리자에 영향을 미치는 또 다른 취약점(CVE-2021-33910)을 발견했습니다. FUSE를 통해 경로 크기가 8MB를 초과하는 디렉터리를 마운트하려고 하면 제어 초기화 프로세스(PID1)에서 스택 메모리가 부족해지고 충돌이 발생하여 시스템이 "패닉" 상태에 빠지는 것으로 나타났습니다.

문제는 systemd가 /proc/self/mountinfo의 내용을 추적 및 구문 분석하고, 동적으로 할당된 메모리가 아닌 스택에 데이터를 배치하는 strdupa() 작업을 수행하는 unit_name_path_escape() 함수에서 각 마운트 지점을 처리한다는 것입니다. . 최대 스택 크기는 RLIMIT_STACK을 통해 제한되므로 마운트 지점에 대한 경로를 너무 크게 처리하면 PID1 프로세스가 충돌하고 시스템이 중지됩니다. 공격의 경우 경로 크기가 8MB를 초과하는 고도로 중첩된 디렉터리를 마운트 지점으로 사용하는 것과 함께 가장 간단한 FUSE 모듈을 사용할 수 있습니다.

이 문제는 systemd 220(2015년 248월)부터 나타났으며 이미 기본 systemd 저장소에서 수정되었으며 배포판(Debian, Ubuntu, Fedora, RHEL, SUSE, Arch)에서 수정되었습니다. 특히, systemd 릴리스 2018에서는 /proc/self/mountinfo 처리 실패를 유발하는 systemd 코드의 버그로 인해 익스플로잇이 작동하지 않습니다. 2018년에도 비슷한 상황이 발생했고 Qualys 연구원들이 Linux 커널의 CVE-14634-XNUMX 취약점에 대한 익스플로잇을 작성하려고 할 때 systemd에서 세 가지 심각한 취약점을 발견했다는 점도 흥미롭습니다.

출처 : opennet.ru