Linux 커널의 eBPF 하위 시스템의 취약점

eBPF 하위 시스템에서 취약점(CVE-2021-29154)이 식별되었습니다. 이를 통해 JIT가 포함된 특수 가상 머신의 Linux 커널 내에서 실행되는 추적, 하위 시스템의 작동 분석 및 트래픽 관리를 위한 핸들러를 실행할 수 있습니다. 로컬 사용자는 커널 수준에서 코드를 실행할 수 있습니다. 이 문제는 5.11.12(포함) 릴리스까지 나타나고 배포판(Debian, Ubuntu, RHEL, Fedora, SUSE, Arch)에서는 아직 수정되지 않았습니다. 수정 사항은 패치로 제공됩니다.

취약점을 확인한 연구원에 따르면, 권한이 없는 사용자가 사용할 수 있는 32비트 및 64비트 x86 시스템용 익스플로잇의 작업 프로토타입을 개발할 수 있었습니다. 그러나 Red Hat은 문제의 심각도가 사용자가 eBPF 시스템 호출에 액세스할 수 있는지 여부에 따라 다르다는 점을 지적합니다. 예를 들어, RHEL 및 기본 구성의 대부분의 다른 Linux 배포판에서 BPF JIT가 활성화되고 사용자에게 CAP_SYS_ADMIN 권한이 있는 경우 취약점이 악용될 수 있습니다. 이 문제를 해결하려면 echo 0 > /proc/sys/net/core/bpf_jit_enable 명령을 사용하여 BPF JIT를 비활성화하는 것이 좋습니다.

해당 문제는 JIT 컴파일러의 기계어 코드 생성 과정에서 분기 명령어에 대한 오프셋 계산 오류로 인해 발생합니다. 특히, 분기 명령을 생성할 때 최적화 단계를 거친 후 오프셋이 변경될 수 있다는 점을 고려하지 않습니다. 이 결함은 비정상적인 기계어 코드를 생성하고 이를 커널 수준에서 실행하는 데 사용될 수 있습니다.

최근 eBPF 하위 시스템의 취약점이 이 취약점뿐만이 아니라는 점은 주목할 만합니다. 2020월 말에 커널에서 두 가지 취약점(CVE-27170-2020, CVE-27171-XNUMX)이 추가로 확인되어 eBPF를 사용하여 Spectre 클래스 취약점에 대한 보호를 우회할 수 있게 되었으며 이를 통해 커널 메모리의 내용을 확인할 수 있습니다. 특정 작업의 추측 실행을 위한 조건을 만든 결과입니다. 스펙터(Spectre) 공격을 위해서는 추측성 명령 실행으로 이어지는 특권 코드에 특정 명령 시퀀스가 ​​있어야 합니다. eBPF에서는 실행을 위해 전송된 BPF 프로그램을 조작하여 이러한 명령을 생성하는 여러 가지 방법이 발견되었습니다.

CVE-2020-27170 취약점은 추측 작업이 버퍼 경계 외부 영역에 액세스하도록 하는 BPF 검증기의 포인터 조작으로 인해 발생합니다. 취약점 CVE-2020-27171은 포인터 작업 시 정수 언더플로 오류로 인해 발생하며, 이는 버퍼 외부의 데이터에 대한 예측적 액세스로 이어집니다. 이러한 문제는 커널 릴리스 5.11.8, 5.10.25, 5.4.107, 4.19.182 및 4.14.227에서 이미 수정되었으며 대부분의 Linux 배포판에 대한 커널 업데이트에도 포함되었습니다. 연구원들은 권한이 없는 사용자가 커널 메모리에서 데이터를 추출할 수 있는 프로토타입 익스플로잇을 준비했습니다.

출처 : opennet.ru