권한 상승을 허용하는 Linux 커널의 iSCSI 하위 시스템 취약성

Linux 커널의 iSCSI 하위 시스템 코드에서 취약점(CVE-2021-27365)이 확인되었습니다. 이 코드를 사용하면 권한 없는 로컬 사용자가 커널 수준에서 코드를 실행하고 시스템에서 루트 권한을 얻을 수 있습니다. 익스플로잇의 작업 프로토타입을 테스트할 수 있습니다. 이 취약성은 Linux 커널 업데이트 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 및 4.4.260에서 해결되었습니다. 커널 패키지 업데이트는 Debian, Ubuntu, SUSE/openSUSE, Arch Linux 및 Fedora 배포판에서 사용할 수 있습니다. 아직 RHEL에 대한 수정 사항이 릴리스되지 않았습니다.

이 문제는 iSCSI 하위 시스템 개발 중 2006년에 도입된 libiscsi 모듈의 iscsi_host_get_param() 함수 오류로 인해 발생합니다. 적절한 크기 확인이 부족하여 호스트 이름이나 사용자 이름과 같은 일부 iSCSI 문자열 속성이 PAGE_SIZE 값(4KB)을 초과할 수 있습니다. 이 취약점은 권한 없는 사용자가 iSCSI 속성을 PAGE_SIZE보다 큰 값으로 설정하는 Netlink 메시지를 보내는 경우 악용될 수 있습니다. sysfs 또는 seqfs를 통해 이러한 속성을 읽으면 속성을 sprintf 함수에 전달하여 크기가 PAGE_SIZE인 버퍼에 복사되는 코드가 호출됩니다.

배포판의 취약점 악용은 NETLINK_ISCSI 소켓 생성을 시도할 때 scsi_transport_iscsi 커널 모듈의 자동 로딩 지원에 따라 달라집니다. 이 모듈이 자동으로 로드되는 배포판에서는 iSCSI 기능 사용과 관계없이 공격이 수행될 수 있습니다. 동시에 익스플로잇을 성공적으로 사용하려면 최소한 하나 이상의 iSCSI 전송 등록이 추가로 필요합니다. 그런 다음 전송을 등록하려면 권한이 없는 사용자가 NETLINK_RDMA 소켓을 생성하려고 할 때 자동으로 로드되는 ib_iser 커널 모듈을 사용할 수 있습니다.

익스플로잇 애플리케이션에 필요한 모듈의 자동 로딩은 시스템에 rdma-core 패키지를 설치할 때 CentOS 8, RHEL 8 및 Fedora에서 지원됩니다. 이는 일부 인기 패키지에 대한 종속성이며 기본적으로 워크스테이션, 서버 시스템 구성에 설치됩니다. GUI 및 호스트 환경 가상화. 하지만 콘솔 모드에서만 작동하는 서버 어셈블리를 사용하는 경우와 최소 설치 이미지를 설치하는 경우에는 rdma-core가 설치되지 않습니다. 예를 들어 패키지는 Fedora 31 Workstation의 기본 배포에는 포함되어 있지만 Fedora 31 Server에는 포함되어 있지 않습니다. Debian과 Ubuntu는 RDMA 하드웨어가 있는 경우에만 rdma-core 패키지가 공격에 필요한 커널 모듈을 로드하기 때문에 문제에 덜 취약합니다.

보안 해결 방법으로 libiscsi 모듈의 자동 로딩을 비활성화할 수 있습니다: echo "install libiscsi /bin/true" >> /etc/modprobe.d/disable-libiscsi.conf

또한 커널에서 데이터 유출로 이어질 수 있는 덜 위험한 두 가지 취약점이 iSCSI 하위 시스템에서 수정되었습니다: CVE-2021-27363(sysfs를 통한 iSCSI 전송 설명자 정보 유출) 및 CVE-2021-27364(범위 밖 버퍼) 읽기) . 이러한 취약점은 필요한 권한 없이 Netlink 소켓을 통해 iSCSI 하위 시스템과 통신하는 데 사용될 수 있습니다. 예를 들어, 권한이 없는 사용자는 iSCSI에 연결하고 "세션 종료" 명령을 실행하여 세션을 종료할 수 있습니다.

출처 : opennet.ru