Linux Netfilter 커널 하위 시스템의 취약점

네트워크 패킷을 필터링하고 수정하는 데 사용되는 Linux 커널의 하위 시스템인 Netfilter에서 취약점(CVE-2021-22555)이 확인되었습니다. 이를 통해 로컬 사용자는 격리된 컨테이너에 있는 동안을 포함하여 시스템에 대한 루트 권한을 얻을 수 있습니다. KASLR, SMAP 및 SMEP 보호 메커니즘을 우회하는 익스플로잇의 작업 프로토타입이 테스트를 위해 준비되었습니다. 취약점을 발견한 연구원은 kCTF 클러스터에서 Kubernetes 컨테이너 격리를 우회하는 방법을 식별한 대가로 Google로부터 20달러의 보상을 받았습니다.

이 문제는 2.6.19년 전에 출시된 커널 15부터 발생했으며, 호환 모드에서 setockopt 호출을 통해 특별히 형식화된 매개변수를 보낼 때 버퍼 오버플로를 일으키는 IPT_SO_SET_REPLACE 및 IP6T_SO_SET_REPLACE 처리기의 버그로 인해 발생합니다. 일반적인 상황에서 compat_setsockopt()에 대한 호출은 루트 사용자만 수행할 수 있지만 공격을 수행하는 데 필요한 권한은 사용자 네임스페이스 지원이 활성화된 시스템에서 권한 없는 사용자도 얻을 수 있습니다.

사용자는 별도의 루트 사용자로 컨테이너를 생성하고 거기에서 취약점을 악용할 수 있습니다. 예를 들어 "사용자 네임스페이스"는 Ubuntu 및 Fedora에서는 기본적으로 활성화되어 있지만 Debian 및 RHEL에서는 활성화되지 않습니다. 취약점을 수정한 패치는 13월 XNUMX일 리눅스 커널에 채택됐다. Debian, Arch Linux 및 Fedora 프로젝트에서는 패키지 업데이트가 이미 생성되었습니다. Ubuntu, RHEL, SUSE에서는 업데이트를 준비 중입니다.

32비트에서 64비트 표현으로 변환한 후 커널 구조를 저장할 때 메모리 크기를 잘못 계산하여 xt_compat_target_from_user() 함수에서 문제가 발생합니다. 이 버그는 오프셋 0x4C로 제한되는 할당된 버퍼를 넘어서는 임의의 위치에 XNUMX개의 null 바이트를 쓸 수 있도록 허용합니다. 이 기능은 루트 권한을 얻을 수 있는 익스플로잇을 생성하기에 충분한 것으로 나타났습니다. msg_msg 구조에서 m_list->next 포인터를 삭제하여 메모리를 해제한 후(해제 후 사용) 데이터에 액세스하기 위한 조건이 생성되었습니다. 그런 다음 msgsnd() 시스템 호출을 조작하여 주소 및 다른 구조에 대한 변경 사항에 대한 정보를 얻는 데 사용되었습니다.

출처 : opennet.ru