En sårbarhet (CVE-2021-27365) er identifisert i iSCSI-delsystemkoden til Linux-kjernen, som lar en uprivilegert lokal bruker kjøre kode på kjernenivå og få root-rettigheter i systemet. En fungerende prototype av utnyttelsen er tilgjengelig for testing. Sårbarheten ble løst i Linux-kjerneoppdateringene 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 og 4.4.260. Kjernepakkeoppdateringer er tilgjengelige på distribusjoner Debian, Ubuntu, SUSE/openSUSE, Arch Linux og Fedora. Ingen rettelser er utgitt for RHEL ennå.
Problemet er forårsaket av en feil i iscsi_host_get_param()-funksjonen fra libiscsi-modulen, introdusert tilbake i 2006 under utviklingen av iSCSI-delsystemet. På grunn av mangel på riktig størrelseskontroll, kan noen iSCSI-strengattributter, for eksempel vertsnavn eller brukernavn, overskride PAGE_SIZE-verdien (4 KB). Sårbarheten kan utnyttes av en uprivilegert bruker som sender Netlink-meldinger som setter iSCSI-attributter til verdier større enn PAGE_SIZE. Når disse attributtene leses gjennom sysfs eller seqfs, kalles kode som sender attributtene til sprintf-funksjonen for å bli kopiert inn i en buffer hvis størrelse er PAGE_SIZE.
Utnyttelse av sårbarheten i distribusjoner avhenger av støtte for automatisk lasting av scsi_transport_iscsi-kjernemodulen ved forsøk på å opprette en NETLINK_ISCSI-socket. I distribusjoner hvor denne modulen lastes automatisk, kan angrepet utføres uavhengig av bruk av iSCSI-funksjonalitet. Samtidig, for å kunne bruke utnyttelsen, kreves det i tillegg registrering av minst én iSCSI-transport. På sin side, for å registrere en transport, kan du bruke ib_iser-kjernemodulen, som lastes automatisk når en uprivilegert bruker prøver å opprette en NETLINK_RDMA-socket.
Automatisk lasting av moduler som er nødvendige for utnyttelsesapplikasjoner støttes i CentOS 8, RHEL 8 og Fedora når du installerer rdma-core-pakken på systemet, som er en avhengighet for noen populære pakker og er installert som standard i konfigurasjoner for arbeidsstasjoner, serversystemer med GUI og vertsmiljø virtualisering. Imidlertid er rdma-core ikke installert når du bruker en serversammenstilling som bare fungerer i konsollmodus og når du installerer et minimalt installasjonsbilde. For eksempel er pakken inkludert i basisdistribusjonen til Fedora 31 Workstation, men er ikke inkludert i Fedora 31 Server. Debian og Ubuntu er mindre utsatt for problemet fordi rdma-core-pakken laster inn kjernemodulene som kreves for angrepet bare hvis RDMA-maskinvare er tilstede.
Som en sikkerhetsløsning kan du deaktivere automatisk lasting av libiscsi-modulen: echo “install libiscsi /bin/true” >> /etc/modprobe.d/disable-libiscsi.conf
I tillegg har to mindre farlige sårbarheter som kan føre til datalekkasje fra kjernen blitt fikset i iSCSI-delsystemet: CVE-2021-27363 (iSCSI-transportdeskriptorinformasjonslekkasje via sysfs) og CVE-2021-27364 (out-of-bounds buffer) lese). Disse sårbarhetene kan brukes til å kommunisere via en netlink-socket med iSCSI-undersystemet uten de nødvendige rettighetene. For eksempel kan en uprivilegert bruker koble til iSCSI og gi kommandoen "avslutt en økt" for å avslutte økten.
Kilde: opennet.ru