Root ранливост во кернелот на Linux и одбивање на услуга во systemd

Безбедносните истражувачи од Qualys открија детали за две пропусти кои влијаат на кернелот на Linux и на системскиот менаџер на системот. Ранливост во кернелот (CVE-2021-33909) му овозможува на локалниот корисник да постигне извршување на код со права на root преку манипулација со високо вгнездени директориуми.

Опасноста од ранливоста се влошува со фактот што истражувачите можеа да подготват работни експлоатации кои работат на Ubuntu 20.04/20.10/21.04, Debian 11 и Fedora 34 во стандардната конфигурација. Забележано е дека другите дистрибуции не се тестирани, но теоретски се исто така подложни на проблемот и можат да бидат нападнати. Целосниот код на експлоатите е ветено дека ќе биде објавен откако проблемот ќе се елиминира насекаде, но засега е достапен само прототип со ограничена функционалност, што предизвикува паѓање на системот. Проблемот е присутен од јули 2014 година и влијае на изданијата на кернелот почнувајќи од 3.16. Поправката на ранливоста беше координирана со заедницата и прифатена во кернелот на 19 јули. Главните дистрибуции веќе генерираа ажурирања на нивните кернел пакети (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch).

Ранливоста е предизвикана од неуспехот да се провери резултатот од конверзија од size_t во int пред да се извршат операции во кодот seq_file, кој создава датотеки од низа записи. Неуспехот да се провери може да резултира со запишување надвор од границите во баферот при креирање, монтирање и бришење многу вгнездена структура на директориуми (големина на патеката поголема од 1 GB). Како резултат на тоа, напаѓачот може да постигне низа од 10 бајти „//избришана“ напишана со поместување од „-2 GB - 10 бајти“ што покажува на областа веднаш пред доделениот бафер.

Подготвениот експлоат бара 5 GB меморија и 1 милион бесплатни иноди за работа. Експлоатот работи со повикување на mkdir() за да се создаде хиерархија од околу милион поддиректориуми за да се постигне големина на патеката на датотеката што надминува 1 GB. Овој директориум е монтиран преку bind-mount во посебен кориснички именски простор, по што функцијата rmdir() се извршува за да се отстрани. Паралелно, се креира нишка која вчитува мала програма eBPF, која е блокирана на сцената по проверка на псевдокодот на eBPF, но пред нејзината JIT компилација.

Во непривилегираниот кориснички именски простор, се отвора датотеката /proc/self/mountinfo и се чита долгата патека на директориумот монтиран со врзување, што резултира со тоа што низата „//избришана“ се запишува во областа пред почетокот на баферот. Позицијата за пишување на линијата е избрана така што таа ја препишува инструкцијата во веќе тестираната, но сè уште некомпајлирана програма eBPF.

Следно, на ниво на програма eBPF, неконтролираното пишување надвор од баферот се трансформира во контролирана способност за читање и пишување на други структури на јадрото преку манипулација со структурите btf и map_push_elem. Како резултат на тоа, експлоатот ја одредува локацијата на баферот modprobe_path[] во меморијата на јадрото и ја препишува патеката „/sbin/modprobe“ во неа, што ви овозможува да иницирате стартување на која било извршна датотека со права на root во случај на Повик request_module(), кој се извршува, на пример, при креирање на Netlink сокет.

Истражувачите обезбедуваат неколку решенија кои се ефективни само за одредена експлоатација, но не го елиминираат самиот проблем. Се препорачува да се постави „/proc/sys/kernel/unprivileged_userns_clone“ на 0 за да се оневозможат монтажни директориуми во посебен именски простор за кориснички ID, а „/proc/sys/kernel/unprivileged_bpf_disabled“ на 1 за да се оневозможи вчитување на програмите eBPF во јадрото.

Вреди да се одбележи дека додека анализираа алтернативен напад кој вклучува употреба на механизмот FUSE наместо bind-mound за монтирање голем директориум, истражувачите наидоа на друга ранливост (CVE-2021-33910) што влијаеше на системскиот системски менаџер. Се испостави дека кога се обидувате да монтирате директориум со големина на патека која надминува 8 MB преку FUSE, процесот на иницијализација на контролата (PID1) снемува од меморијата на магацинот и паѓа, што го става системот во состојба на „панична“ состојба.

Проблемот е што systemd ја следи и анализира содржината на /proc/self/mountinfo и ја обработува секоја точка на монтирање во функцијата unit_name_path_escape(), која врши операција strdupa() која ги става податоците на стек наместо во динамички распределената меморија . Бидејќи максималната големина на оџакот е ограничена преку RLIMIT_STACK, обработката на преголема патека до точката на монтирање предизвикува процесот на PID1 да падне и да го запре системот. За напад, можете да го користите наједноставниот FUSE модул во комбинација со користење на високо вгнезден директориум како точка за монтирање, чија големина на патеката надминува 8 MB.

Проблемот се појавува уште од systemd 220 (април 2015), веќе е поправен во главното складиште на systemd и фиксиран во дистрибуциите (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch). Имено, во systemd издание 248 експлоатацијата не работи поради грешка во systemd кодот што предизвикува неуспешна обработка на /proc/self/mountinfo. Интересно е и тоа што во 2018 година се појави слична ситуација и кога се обидуваа да напишат експлоат за ранливоста CVE-2018-14634 во кернелот Linux, истражувачите на Qualys наидоа на три критични пропусти во systemd.

Извор: opennet.ru