Ранливост во потсистемот на кернелот на Linux Netfilter

Идентификувана е ранливост (CVE-2021-22555) во Netfilter, потсистем на кернелот на Linux што се користи за филтрирање и менување на мрежните пакети, што му овозможува на локалниот корисник да стекне права на root на системот, вклучително и додека е во изолиран контејнер. Работен прототип на експлоат кој ги заобиколува механизмите за заштита KASLR, SMAP и SMEP е подготвен за тестирање. Истражувачот кој ја откри ранливоста доби награда од 20 долари од Google за идентификување на метод за заобиколување на изолацијата на контејнерите Kubernetes во кластерот kCTF.

Проблемот постои уште од кернелот 2.6.19, објавен пред 15 години и е предизвикан од грешка во ракувачите IPT_SO_SET_REPLACE и IP6T_SO_SET_REPLACE што предизвикува прелевање на баферот при испраќање специјално форматирани параметри преку повик setsockopt во компат режим. Во нормални околности, само корисникот на root може да упати повик до compat_setsockopt(), но привилегиите потребни за извршување на нападот може да ги добие и непривилегиран корисник на системи со овозможена поддршка за кориснички простори со имиња.

Корисникот може да создаде контејнер со посебен root корисник и да ја искористи ранливоста од таму. На пример, „user namespaces“ е стандардно овозможено на Ubuntu и Fedora, но не е овозможено на Debian и RHEL. Закрпата што ја поправа ранливоста беше усвоена во кернелот на Linux на 13 април. Ажурирањата на пакетите веќе се генерирани од проектите на Debian, Arch Linux и Fedora. Во Ubuntu, RHEL и SUSE, ажурирањата се во подготовка.

Проблемот се јавува во функцијата xt_compat_target_from_user() поради неправилно пресметување на големината на меморијата при зачувување на структурите на кернелот по конверзија од 32-битна во 64-битна репрезентација. Грешката дозволува четири нула бајти да се запишат на која било позиција надвор од доделениот бафер ограничен со поместување 0x4C. Оваа функција се покажа како доволна за да се создаде експлоат што му овозможи на некој да добие root права - со бришење на m_list-> следен покажувач во структурата msg_msg, беа создадени услови за пристап до податоци по ослободување на меморијата (користење-по-слободно), што потоа беше искористена за добивање информации за адреси и промени во други структури преку манипулација со системскиот повик msgsnd().

Извор: opennet.ru