Er is een kwetsbaarheid (CVE-2022-25636) geïdentificeerd in Netfilter, een Linux-kernelsubsysteem dat wordt gebruikt om netwerkpakketten te filteren en aan te passen, waardoor code op kernelniveau kan worden uitgevoerd. Er is een voorbeeld aangekondigd van een exploit waarmee een lokale gebruiker zijn rechten in Ubuntu 21.10 kan verhogen terwijl het KASLR-beveiligingsmechanisme is uitgeschakeld. Het probleem manifesteert zich vanaf kernel 5.4. De fix is nog steeds beschikbaar als patch (corrigerende kernelreleases zijn niet gevormd). U kunt de publicatie van pakketupdates in distributies volgen op deze pagina's: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Het beveiligingslek wordt veroorzaakt door een fout bij het berekenen van de grootte van de array flow->rule->action.entries in de functie nft_fwd_dup_netdev_offload (gedefinieerd in het bestand net/netfilter/nf_dup_netdev.c), wat ertoe kan leiden dat door een aanvaller gecontroleerde gegevens geschreven naar een geheugengebied buiten de toegewezen buffer. De fout manifesteert zich bij het instellen van de regels "dup" en "fwd" in ketens waarvoor hardwareversnelling van pakketverwerking (offload) wordt gebruikt. Aangezien de overflow plaatsvindt voordat de pakketfilterregel is gemaakt en offload-ondersteuning is gecontroleerd, is de kwetsbaarheid ook van toepassing op netwerkapparaten die geen ondersteuning bieden voor hardwareversnelling, zoals een loopback-interface.
Opgemerkt wordt dat het probleem vrij eenvoudig te exploiteren is, aangezien waarden die verder gaan dan de buffer de aanwijzer naar de net_device-structuur kunnen overschrijven en gegevens over de overschreven waarde worden teruggestuurd naar de gebruikersruimte, wat het mogelijk maakt om de adressen in het geheugen die nodig zijn om de aanval uit te voeren. Exploitatie van de kwetsbaarheid vereist het maken van bepaalde regels in nftables, wat alleen mogelijk is met CAP_NET_ADMIN-privileges, die kunnen worden verkregen door een onbevoegde gebruiker in een aparte netwerknaamruimte (netwerknaamruimten). De kwetsbaarheid kan ook worden gebruikt om containerisolatiesystemen aan te vallen.
Bron: opennet.ru