Linux 커널 수준에서 코드 실행을 허용하는 eBPF 하위 시스템의 취약점

eBPF 하위 시스템에서 두 가지 새로운 취약점이 식별되었습니다. 이를 통해 JIT를 사용하는 특수 가상 머신의 Linux 커널 내에서 핸들러를 실행할 수 있습니다. 두 가지 취약점 모두 격리된 eBPF 가상 머신 외부에서 커널 권한으로 코드를 실행할 수 있게 해줍니다. 문제에 대한 정보는 Pwn2Own 대회를 운영하는 Zero Day Initiative 팀에 의해 게시되었으며, 올해에는 이전에 알려지지 않은 취약점을 사용한 Ubuntu Linux에 대한 XNUMX건의 공격이 입증되었습니다(eBPF의 취약점이 이러한 공격과 관련이 있는지 여부는 보고되지 않음). .

• CVE-2021-3490 - 이 취약점은 eBPF ALU32에서 비트 AND, OR 및 XOR 연산을 수행할 때 32비트 범위 외 검사가 부족하여 발생합니다. 공격자는 이 버그를 이용하여 할당된 버퍼 범위 외부의 데이터를 읽고 쓸 수 있습니다. XOR 연산 문제는 커널 버전 5.7-rc1부터 나타나고 AND 및 OR - 5.10-rc1부터 나타납니다.
• CVE-2021-3489 - 해당 취약점은 링 버퍼 구현 오류로 인해 발생하며, bpf_ringbuf_reserve 함수가 할당된 메모리 영역의 크기가 실제 크기보다 작을 가능성을 확인하지 않았기 때문에 발생합니다. 링버프의. 이 문제는 릴리스 5.8-rc1부터 나타납니다.

배포판의 취약점 패치 상태는 Ubuntu, Debian, RHEL, Fedora, SUSE, Arch 페이지에서 추적할 수 있습니다. 수정 사항은 패치(CVE-2021-3489, CVE-2021-3490)로도 제공됩니다. 문제가 악용될 수 있는지 여부는 사용자가 eBPF 시스템 호출에 액세스할 수 있는지 여부에 따라 달라집니다. 예를 들어, RHEL의 기본 구성에서 취약점을 악용하려면 사용자에게 CAP_SYS_ADMIN 권한이 있어야 합니다.

이와 별도로, 로컬 사용자가 자신의 권한을 루트 수준으로 높일 수 있는 Linux 커널의 또 다른 취약점인 CVE-2021-32606에 주목할 수 있습니다. 이 문제는 Linux 커널 5.11부터 분명해졌으며 CAN ISOTP 프로토콜 구현의 경쟁 조건으로 인해 발생합니다. 이로 인해 isotp_setsockopt() 함수에서 적절한 잠금을 설정하지 않아 소켓 바인딩 매개변수를 변경할 수 있습니다. CAN_ISOTP_SF_BROADCAST 플래그를 처리할 때.

ISOTP 소켓이 닫힌 후에도 수신자 소켓에 대한 바인딩은 그대로 유지되며, 연결된 메모리가 해제된 후에도 소켓과 연결된 구조를 계속 사용할 수 있습니다(isotp_sock 구조에 대한 호출로 인해 use-after-free). isotp_rcv()가 호출될 때 이미 해제되었습니다). 데이터 조작을 통해 sk_error_report() 함수에 대한 포인터를 재정의하고 커널 수준에서 코드를 실행할 수 있습니다.

출처 : opennet.ru