블루투스를 통해 원격으로 악용되는 Linux 커널의 취약점

Linux 커널에서 취약점(CVE-2022-42896)이 확인되었습니다. 이 취약점은 Bluetooth를 통해 특별히 설계된 L2CAP 패킷을 전송하여 커널 수준에서 원격 코드 실행을 구성하는 데 잠재적으로 사용될 수 있습니다. 또한 L2022CAP 핸들러에서 또 다른 유사한 문제가 확인되었습니다(CVE-42895-2). 이로 인해 구성 정보가 포함된 패킷에서 커널 메모리 내용이 누출될 수 있습니다. 첫 번째 취약점은 2014년 3.16월(커널 2011) 이후 나타났고, 두 번째 취약점은 3.0년 6.1.0월(커널 6.0.8) 이후 나타났습니다. 이 취약성은 Linux 커널 릴리스 4.9.333, 4.14.299, 4.19.265, 5.4.224, 5.10.154, 5.15.78, XNUMX 및 XNUMX에서 해결되었습니다. Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch 페이지에서 배포판의 수정 사항을 추적할 수 있습니다.

원격 공격 수행 가능성을 입증하기 위해 Ubuntu 22.04에서 작동하는 프로토타입 익스플로잇이 게시되었습니다. 공격을 수행하려면 공격자가 Bluetooth 범위 내에 있어야 합니다. 사전 페어링은 필요하지 않지만 컴퓨터에서 Bluetooth가 활성화되어 있어야 합니다. 공격의 경우 피해자 장치의 MAC 주소를 아는 것만으로도 충분합니다. 이는 스니핑을 통해 확인하거나 일부 장치에서는 Wi-Fi MAC 주소를 기반으로 계산할 수 있습니다.

첫 번째 취약점(CVE-2022-42896)은 l2cap_connect 및 l2cap_le_connect_req 함수 구현 시 이미 해제된 메모리 영역(use-after-free)에 액세스하여 발생합니다. new_connection 콜백을 통해 채널을 생성한 후 잠금이 설정되지 않았습니다. 이를 위해 타이머가 설정되었지만(__set_chan_timer), 시간 초과가 만료되면 l2cap_chan_timeout 함수를 호출하고 l2cap_le_connect* 함수의 채널 작업 완료를 확인하지 않고 채널을 지웁니다.

기본 타임아웃은 40초이고 이 정도 지연으로 인해 Race Condition이 발생할 수 없다고 가정했는데, SMP 핸들러의 또 다른 오류로 인해 타이머에 대한 즉각적인 호출이 가능하고 경쟁 조건. l2cap_le_connect_req의 문제는 커널 메모리 누수로 이어질 수 있으며, l2cap_connect에서는 메모리 내용을 덮어쓰고 해당 코드를 실행할 수 있습니다. 첫 번째 유형의 공격은 Bluetooth LE 4.0(2009년 이후)을 사용하여 수행될 수 있으며 두 번째 공격 유형은 Bluetooth BR/EDR 5.2(2020년 이후)를 사용하여 수행될 수 있습니다.

두 번째 취약점(CVE-2022-42895)은 l2cap_parse_conf_req 함수의 잔여 메모리 누수로 인해 발생합니다. 이 함수는 특별히 제작된 구성 요청을 전송하여 커널 구조에 대한 포인터에 대한 정보를 원격으로 얻는 데 사용할 수 있습니다. l2cap_parse_conf_req 함수는 할당된 메모리가 사전 초기화되지 않은 l2cap_conf_efs 구조를 사용했으며 FLAG_EFS_ENABLE 플래그를 조작하여 스택의 오래된 데이터를 패킷에 포함시킬 수 있었습니다. 문제는 커널이 CONFIG_BT_HS 옵션(기본적으로 비활성화되어 있지만 Ubuntu와 같은 일부 배포판에서는 활성화되어 있음)으로 빌드된 시스템에서만 나타납니다. 공격이 성공하려면 관리 인터페이스를 통해 HCI_HS_ENABLED 매개변수를 true(기본적으로 사용되지 않음)로 설정해야 합니다.

출처 : opennet.ru