Linux kernel တွင် root အားနည်းချက်နှင့် systemd တွင်ဝန်ဆောင်မှုကိုငြင်းဆိုခြင်း။

Qualys မှ လုံခြုံရေးသုတေသီများသည် Linux kernel နှင့် systemd system manager ကိုထိခိုက်စေသော အားနည်းချက်နှစ်ခု၏အသေးစိတ်အချက်အလက်များကိုဖော်ပြခဲ့သည်။ kernel ရှိ အားနည်းချက်တစ်ခု (CVE-2021-33909) သည် ဒေသခံအသုံးပြုသူတစ်ဦးအား အလွန်အသိုက်အမြုံရှိသော လမ်းကြောင်းများကို ကိုင်တွယ်ခြင်းဖြင့် အမြစ်အခွင့်အရေးဖြင့် ကုဒ်လုပ်ဆောင်မှုကို အောင်မြင်စေသည်။

သုတေသီများသည် Ubuntu 20.04/20.10/21.04၊ Debian 11 နှင့် Fedora 34 တွင် အလုပ်လုပ်သော အလုပ်ဆိုင်ရာ အသုံးချမှုများကို ပြင်ဆင်နိုင်ခြင်းကြောင့် အားနည်းချက်၏ အန္တရာယ်သည် ပိုမိုဆိုးရွားလာပါသည်။ အခြားဖြန့်ဝေမှုများကို မစမ်းသပ်ရသေးသော်လည်း သီအိုရီအရလည်း ပြဿနာဖြစ်နိုင်ချေရှိပြီး တိုက်ခိုက်နိုင်ကြောင်း မှတ်သားထားသည်။ ပြဿနာကို နေရာတိုင်းတွင် ဖယ်ရှားပြီးနောက် exploits ၏ ကုဒ်အပြည့်အစုံကို ထုတ်ဝေမည်ဟု ကတိပြုထားသော်လည်း ယခုအခါတွင် အကန့်အသတ်ရှိသော လုပ်ဆောင်နိုင်စွမ်း၏ ရှေ့ပြေးပုံစံကိုသာ ရရှိထားပြီး၊ စနစ်ပျက်သွားစေသည်။ ပြဿနာသည် ဇူလိုင်လ 2014 ကတည်းက ရှိနေခဲ့ပြီး 3.16 မှ စတင်သည့် kernel များကို သက်ရောက်မှုရှိသည်။ အားနည်းချက်ပြင်ဆင်မှုကို ရပ်ရွာနှင့်ညှိနှိုင်းပြီး ဇူလိုင်လ 19 ရက်နေ့တွင် kernel သို့လက်ခံခဲ့သည်။ ပင်မဖြန့်ဝေမှုများသည် ၎င်းတို့၏ kernel ပက်ကေ့ဂျ်များ (Debian၊ Ubuntu၊ Fedora၊ RHEL၊ SUSE၊ Arch) အတွက် အပ်ဒိတ်များကို ထုတ်ပေးထားပြီးဖြစ်သည်။

အားနည်းချက်သည် seq_file ကုဒ်တွင် လုပ်ဆောင်ချက်များ မလုပ်ဆောင်မီ size_t သို့ int ပြောင်းလဲခြင်း၏ ရလဒ်ကို စစ်ဆေးရန် ပျက်ကွက်ခြင်းကြောင့်ဖြစ်ပြီး၊ ဖိုင်များကို မှတ်တမ်းတစ်ခုစီမှ ဖန်တီးပေးသည့် seq_file ကုဒ်တွင် ဖြစ်သည်။ စစ်ဆေးရန် ပျက်ကွက်ပါက အလွန်အသိုက်အမြုံရှိသော လမ်းညွှန်ဖွဲ့စည်းပုံ (လမ်းကြောင်း အရွယ်အစား 1 GB ထက်ကြီးသော) ကို ဖန်တီးခြင်း၊ တပ်ဆင်ခြင်းနှင့် ဖျက်ခြင်းတို့ ပြုလုပ်သည့်အခါ ကြားခံထံ စာရေးခြင်းများ ဖြစ်ပေါ်နိုင်သည်။ ရလဒ်အနေဖြင့်၊ တိုက်ခိုက်သူသည် ခွဲဝေချထားပေးသည့်ကြားခံမတိုင်မီ ဧရိယာကို ချက်ချင်းညွှန်ပြသည့် "-10 GB - 2 bytes" ၏ offset ဖြင့် ရေးထားသော 10-byte စာကြောင်းကို ရရှိနိုင်သည်။

ပြင်ဆင်ထားသော exploit သည် လည်ပတ်ရန်အတွက် 5 GB memory နှင့် 1 million free inodes လိုအပ်သည်။ exploit သည် 1 GB ထက်ကျော်လွန်သော ဖိုင်လမ်းကြောင်းအရွယ်အစားကိုရရှိရန် mkdir() ကိုခေါ်ဆိုခြင်းဖြင့် လုပ်ဆောင်သည်။ ဤလမ်းညွှန်ကို သီးခြားအသုံးပြုသူအမည်ကွက်လပ်တစ်ခုတွင် bind-mount မှတစ်ဆင့်တပ်ဆင်ထားပြီး၊ ထို့နောက် ၎င်းကိုဖယ်ရှားရန် rmdir() လုပ်ဆောင်ချက်ကို လုပ်ဆောင်သည်။ တဆက်တည်းတွင်၊ eBPF pseudocode ကိုစစ်ဆေးပြီးနောက် အဆင့်တွင် ပိတ်ဆို့ထားသည့် eBPF ပရိုဂရမ်ငယ်တစ်ခုကို တင်ဆောင်သည့် ချည်မျှင်တစ်ခုကို ဖန်တီးထားသည်၊ သို့သော် ၎င်း၏ JIT စုစည်းမှုမပြုမီ။

အခွင့်ထူးမခံသော userrid namespace တွင်၊ ဖိုင် /proc/self/mountinfo ကိုဖွင့်ပြီး bind-mounted directory ၏ရှည်လျားသောလမ်းကြောင်းအမည်ကိုဖတ်ပြီး ရလဒ်အနေဖြင့် ကြားခံမစတင်မီတွင် "//deleted" စာတန်းကို ဧရိယာသို့ရေးမှတ်သွားမည်ဖြစ်သည်။ စမ်းသပ်ပြီးသား eBPF ပရိုဂရမ်တွင် ညွှန်ကြားချက်ကို မရေးနိုင်စေရန် စာကြောင်းရေးသားရန် အနေအထားကို ရွေးချယ်ထားသည်။

ထို့နောက်၊ eBPF ပရိုဂရမ်အဆင့်တွင်၊ အထိန်းအကွပ်မဲ့ ပြင်ပကြားခံအရေးအသားသည် btf နှင့် map_push_elem တည်ဆောက်ပုံများကို ခြယ်လှယ်ခြင်းဖြင့် အခြား kernel တည်ဆောက်ပုံများသို့ ဖတ်ရှုခြင်းနှင့် စာရေးခြင်းအား ထိန်းချုပ်နိုင်မှုအဖြစ်သို့ ပြောင်းလဲသွားသည်။ ရလဒ်အနေဖြင့်၊ exploit သည် kernel memory ရှိ modprobe_path[] buffer ၏တည်နေရာကိုဆုံးဖြတ်ပြီး ၎င်းရှိ “/sbin/modprobe” လမ်းကြောင်းကို overwrite လုပ်ပေးပြီး၊ ၎င်းသည် သင်စတင်လုပ်ဆောင်နိုင်သော မည်သည့်ဖိုင်ကိုမဆို root လုပ်ပိုင်ခွင့်ဖြင့် စတင်လုပ်ဆောင်နိုင်စေမည့် ရလဒ်တစ်ခုဖြစ်သည်။ netlink socket ကိုဖန်တီးသောအခါ၊ ဥပမာအားဖြင့်၊ request_module() ခေါ်ဆိုမှု။

သုတေသီများသည် တိကျသောအမြတ်ထုတ်မှုတစ်ခုအတွက်သာ ထိရောက်သော ဖြေရှင်းနည်းများစွာကို ပေးစွမ်းသော်လည်း ပြဿနာကို ၎င်းကိုယ်တိုင် မဖယ်ရှားပါ။ သီးခြားအသုံးပြုသူ ID namespace တွင် တပ်ဆင်ခြင်းလမ်းကြောင်းများကို ပိတ်ရန် "/proc/sys/kernel/unprivileged_userns_clone" ကို 0 အဖြစ် သတ်မှတ်ရန်နှင့် kernel ထဲသို့ eBPF ပရိုဂရမ်များတင်ခြင်းကို ပိတ်ရန် 1 အဖြစ် သတ်မှတ်ရန် အကြံပြုအပ်ပါသည်။

ကြီးမားသောလမ်းညွှန်ကိုတပ်ဆင်ရန် FUSE ယန္တရားကိုအသုံးပြုခြင်းအစား FUSE ယန္တရားအသုံးပြုခြင်းပါ ၀ င်သည့်အစားထိုးတိုက်ခိုက်မှုတစ်ခုအားခွဲခြမ်းစိတ်ဖြာစဉ်တွင်သုတေသီများသည် systemd စနစ်မန်နေဂျာကိုထိခိုက်စေသောအခြားအားနည်းချက် (CVE-2021-33910) ကိုတွေ့ရှိခဲ့သည်။ FUSE မှတစ်ဆင့် လမ်းကြောင်းအရွယ်အစား 8 MB ထက်ကျော်လွန်သော လမ်းကြောင်းတစ်ခုအား တပ်ဆင်ရန် ကြိုးစားသောအခါ၊ ထိန်းချုပ်မှုစတင်ခြင်းလုပ်ငန်းစဉ် (PID1) သည် stack memory ကုန်ဆုံးသွားပြီး စနစ်အား "ထိတ်လန့်" စေသည့် အခြေအနေသို့ ရောက်ရှိသွားကြောင်း တွေ့ရှိရပါသည်။

ပြဿနာမှာ systemd သည် /proc/self/mountinfo ၏ အကြောင်းအရာများကို ခြေရာခံပြီး ခွဲခြမ်းစိပ်ဖြာကာ unit_name_path_escape() လုပ်ဆောင်ချက်တွင် mount point တစ်ခုစီကို လုပ်ဆောင်ပေးသည့် strdupa() လုပ်ဆောင်ချက်ကို လုပ်ဆောင်ခြင်းဖြစ်ပြီး၊ ဒေတာများကို stack ပေါ်တွင် နေရာချပေးမည့်အစား ဒိုင်းနမစ်ဖြင့် ခွဲဝေချထားပေးသော မမ်မိုရီတွင် နေရာချပေးသော strdupa() လုပ်ဆောင်ချက်ကို လုပ်ဆောင်ပါသည်။ . အများဆုံး stack အရွယ်အစားကို RLIMIT_STACK မှတစ်ဆင့် ကန့်သတ်ထားသောကြောင့် mount point သို့ လမ်းကြောင်းအလွန်ကြီးသော လုပ်ဆောင်ခြင်းသည် PID1 လုပ်ငန်းစဉ်ကို ပျက်စီးစေပြီး စနစ်အား ရပ်တန့်စေပါသည်။ တိုက်ခိုက်မှုတစ်ခုအတွက်၊ သင်သည် 8 MB ထက်ကျော်လွန်သော လမ်းကြောင်းအရွယ်အစားကို mount point အဖြစ် အလွန်အသိုက်အမြုံပြုထားသော လမ်းညွှန်ကို အသုံးပြု၍ အရိုးရှင်းဆုံး FUSE မော်ဂျူးကို အသုံးပြုနိုင်သည်။

systemd 220 (ဧပြီ 2015) တွင် ပင်မ systemd repository တွင် fixed လုပ်ပြီး distribution (Debian၊ Ubuntu, Fedora, RHEL, SUSE, Arch) ကတည်းက ပြဿနာပေါ်လာခဲ့သည်။ မှတ်သားစရာမှာ၊ systemd release 248 တွင် /proc/self/mountinfo ၏လုပ်ဆောင်မှုကို ကျရှုံးစေသည့် systemd code တွင် bug တစ်ခုကြောင့် exploit သည် အလုပ်မလုပ်ပါ။ 2018 တွင် အလားတူအခြေအနေတစ်ခုပေါ်ပေါက်လာပြီး Linux kernel ရှိ CVE-2018-14634 အားနည်းချက်အတွက် exploit တစ်ခုကိုရေးရန်ကြိုးစားသောအခါ Qualys သုတေသီများသည် systemd တွင် အရေးကြီးသောအားနည်းချက်သုံးခုကိုတွေ့လာရသည်မှာလည်း စိတ်ဝင်စားစရာကောင်းပါသည်။

source: opennet.ru