CVE-2021-22555:一个影响2006年(Linux kernel v2.6.19-rc1 发布)至今(Linux kernel v5.12-rc8)的所有Linux内核版本的漏洞,可导致本地提权与容器逃逸;该漏洞是个内核级漏洞,跟Linux的发行版本没有关系,也就是说只要Linux 内核版本在v2.6.19-rc1 ~v5.12-rc8 之间的内核,都存在被黑客利用该漏洞攻击的可能。
该漏洞是由Andy Nguyen (theflow@)发现,于2021年07月16日发布。换句话说,该漏洞已经存在了15年之久,都没有被人发现。该漏洞将允许本地用户通过用户名空间获取权限提升,和容器逃逸。
| 漏洞编号 | CVE-2021-22555 |
|---|---|
| 内核组件 | kernel-netfilter |
| 漏洞类型 | Linux kernel堆溢出、特权提升 |
| 影响版本 | Linux Kernel : v2.6.19-rc1 ~ v5.12-rc8 |
简述: Linux 内核模块Netfilter中存在一处权限提升漏洞,在 64位系统 上为 32位进程 处理 setsockopt IPT_SO_SET_REPLACE(或 IP6T_SO_SET_REPLACE)时,如果内核选项CONFIG_USER_NS 、CONFIG_NET_NS被开启,则攻击者可以通过该漏洞实现权限提升,以及从docker、k8s容器中实施容器逃逸。
Linux发行版:Ubuntu 20.04.2 LTS
Linux kernel 版本:5.8.0-48-generic
如图:
在Linux内核代码net/netfilter/x_tables.c中的 xt_compat_target_from_user 函数内的第1129行,在使用memset()时并未对传进来的参数进行校验,会导致在写0时,越过堆的大小,导致“堆溢出”,从而破坏堆与堆之间的边界。
而写超的0 的内核内存,刚好又在应用层程序(恶意程序)通过堆喷技术拿到感知控制。通过搜索,可以找到被写超的内核内存;恶意程序在应用层建立与这段内核内存的联系,把要执行代码commit_creds(prepare_kernel_cred(NULL))封装到回调函数内;利用内核机制在内核内存中建立与回调机制使用关系,再把刚才封装的函数地址更新到内核内存中。当主动释放这段内核内存,触发回调函数,从而调用到commit_creds()函数把权限升级到root权限。
是一个与程序运行期间不正确使用动态内存相关的漏洞利用方式。
程序在释放内存位置后,系统不会马上回收内存。指针指向的那段内存依然存在,并且内容没有被清除,攻击者可以利用该错误来入侵该程序。(本次漏洞重点使用。通过UAF,可以达到同一块内存在不同的操作对象之间交换控制管理权)
SMAP(Supervisor Mode Access Prevention):管理模式访问保护–禁止内核CPU访问用户空间的数据.
SMEP(Supervisor Mode Execution Prevention):管理模式执行保护–禁止内核CPU执行用户空间的代码(并不会因为你权限高就能访问/执行低权限的资源,你的就是你的,我的就是我的).
SMEP和SMAP导致我们不能像从前那样,利用恶意进程提权到内核权限后,扭头去执行布置在用户态的恶意shellcode,用户态shellcode注入也不好使了(Linux 内核漏洞防御机制).
KASLR(kernel address space layout randomization)也就是内核地址空间布局随机化。KASLR技术允许kernel image加载到VMALLOC区域的任何位置。当KASLR关闭的时候,kernel image都会映射到一个固定的链接地址。
对于黑客来说是透明的,因此安全性得不到保证。KASLR技术可以让kernel image映射的地址相对于链接地址有个偏移。如果bootloader支持每次开机随机生成偏移数值,那么可以做到每次开机kernel image映射的虚拟地址都不一样。
因此,对于开启KASLR的kernel来说,不同的产品的kernel image映射的地址几乎都不一样。因此在安全性上有一定的提升(Linux 内核漏洞防御机制)。
rop(Return Oriented Programming)。X86架构下,函数调用规则是,当刚跳转到其他函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数。
被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;
最后,被调用者以ret指令结尾,ret指令将栈顶地址传递到 RIP寄存器 ,随后代码也就跳转到之前栈顶存放的返回地址处;
rop链即是基于以上这个简单的原理,在代码空间中寻找以ret结尾的代码片段或函数(代码片段称为Rop gadgets),组合可以实现拓展可写栈空间、写入内存、shell等功能,依靠ret将 代码执行权 紧握在自己的手里。
在计算机体系中,所有的行为逻辑,都是要以“程序”为媒介得以执行。当然,这也包含了所有“恶意行为”在内的病毒、木马等待。
而“程序”的本质是通过代码来对“现实行为”在计算机内的行为仿真(程序没有“恶意”和“非恶意”之分,恶意的是写这份代码的人心);既然是代码,也是要遵照计算机体系的约定。
在Linux系统中所有的行为都是被“权限”所规范起来。
换句话说,程序想要被运行起来就需要“获得”相应的权限。而在Linux系统权限是被严格的划分。我们可以从2个维度(应用层/内核层)来对权限进行了解。
也就是平时我们操作Linux界面。在应用层中是以用户为单位进行管理,又划分成2类:特权用户(也就是root),普通用户。
Linux限定了普通用户的行为,也包含普通用户的程序;在普通用户模式下,有很多系统级的接口、功能,都是不能使用的;基本也就是只能使用主机的“计算能力”,不能使用到“管理能力”。
操作系统是对物理硬件的抽象,而内核层是操作系统的核心。
在内核层中,没有像应用层那样,做权限区分,任何执行代码都是一样的权限。
而内核层相对于用户层,拥有的特权是最高。
根据前面提到的,想要运行代码,需要2个条件:
1、代码在内存中
2、装载代码的内存拥有执行权限
一个普通用户的程序,正常情况下只能通过高权限的授权,来提升自己的权限,除此别无他法。
而CVE-2021-22555漏洞可以通过“内核特权”来打破这一规则。
通过系统提供的消息队列功能,建立大量的消息队列,并往每个消息队列里面传入消息(每个消息大小:4096)。这些消息会缓存到内核当中。
缓存在内核,也就意味着有大量的内存占用。而当有大量的内存申请使用,内核的内存管理模块为了减小内存碎片的问题,会把相邻的内存返回给内存使用者。
也就是说,这些缓存的消息,在内存中是连续存在,紧挨着的。
如图:
这样还不够,再次往各个消息队列发送消息,这次发送的消息大小是1024。而在消息队列中的消息是用链表的方式来连接的,在内存中的布局如图:
这里面的选用 4096 大小作为第一条消息,是为了适配漏洞代码 memset() 做格式化的大小。
而选用1024 大小作为每二条消息,是为了利用上漏洞后,当内核内存使用,与后续的回调机制匹配。
现在读出部分各个消息队中的 4096大小的消息,其目的是为了释放在内核内存中缓存的内存。在读出的消息的同时内存也得到释放。
接下应用层利用 socket 触发漏洞函数。触发代码:
setsockopt(fd, SOL_IP, IPT_SO_SET_REPLACE, &data, sizeof(data))
data 的大小通过人为的方式来构造,其中sizeof(data) 的大小,会传到漏洞语句。造成堆写0溢出,踩到相邻的内存。
内核层对应的漏洞函数 xt_compat_target_from_user 被触发时,会在内核层申请内核内存。根据UAF攻击原理,xt_compat_target_from_user 函数内申请的内存刚好会是上面消息队在内核层释放的内存块。
而该内存块相连的是其它的 4096大小的消息内存块。当漏洞函数被触发,写超的内存,就会写到相邻的 4096 消息内。
4096 消息在应用层可以通过遍历,来找出被踩的那块内核消息块。
在溢出写0的长度是在应用层可以人为的控制,而这里,我们设计溢出的长度为 2 个字节。
根据消息结构体在内核层中的定义,溢出写0的2个字节刚好会覆盖消息结构体内的指向下一条1024消息的指针的后2位。就会导致被溢出踩的4096消息会指向另一个1024消息,而这条1024同时会被另一个4096的消息指向。
也就是同一个1024消息被2个4096消息指向,为后续的UAF利用提供了条件。
如图:
该漏洞的利用开始就是从写超2个字节的堆内存,而该漏洞的发现者也因此获取得了10000$的奖励。而在作者后续的文章说明中,也是很幽默地把该点写到文章的标题上。
如图:
其实目的是为了把权限升级的相关的代码传到内核层让,让内核层的权限去运行权限升级的代码,来提升用户层用户的权限。
绕过SMAP的基础,就是要知道内核内存的地址。知道地址的基础,把我们要提升权限的代码以ROP攻击链的方式写到该内核内存当中。
通过对消息队的遍历,找到了被双重引用的1024消息,而目前还不知道该被双重引用的1024消息的地址。
不知道该消息的内核内存地址,是没办法绕过SMAP机制,同时在后面作为ROP链的媒介内存,在不知道内存地址的情况下,是没办法使用的。
接下来就是需要知道该消息的内核内存地址了。
好在可以通过消息结构(struct msg_msg)的 m_ts字段,再利用 copy_msg()函数
来读取出被双重指向的1024消息的相邻消息。(设置被双重指向的1024消息的m_ts字段大于DATALEN_MSG(4096 - sizeof(struct msg_msg)) ),再通过该相邻消息找出被双重指定的1024消息的内核内存地址,现在我们得到了内核内存地址,就可以把我们的ROP链的代码写到该内核内存地址上,从而达到绕过SMAP机制。
在内核的消息队列,也就只是消息结构类型(struct msg_msg),并且还需要保证里面的元素的合法性。换句话说,我们就不能使用消息队列的对象来做内核内存的修改对象,因为没有可塑性。
需要找一种有可塑造的内核结构消息来指向该内核消息队列内存地址。
这里使用 struct sk_buff 结构体类型, sk_buff就没有 struct msg_msg的内核限制。
利用双重指向的1024消息的其中一个引用,来释放该1024消息。再使用struct sk_buff类型的消息来堆喷1024大小,正常情况下,通过堆喷会找到刚释放出被双重指定的1024消息。而这样做的目的是为了通过另一种控制的方式(sk_buff)来指向了该内核内存地址。
到目前为止,我们拿到了一段内核内存,大小1024,并且还一个struct sk_buff类型的指针可以对它进行操作。
(为了方便大家理解,再次解释一下:该步骤的目的是为了把同一块内存的控制管理权限转交给 struct sk_buff 结构;因为在原消息结构 struct msg_msg 类型在内核中是不允许对结构体做超范围的操作)
也就是找到一个结构体内有函数指针的对象。
这里选用 struct pipe_buffer 结构对象,该结构体中的 const struct pipe_buf_operations *ops;刚好可以用来存放回调函数。
该结构体刚好占1024字节,同时也很容易使用 pipe()函数来制成。
调用pipe()申请 struct pipe_buffer 结构时,ops字段的内容会默认填充为anon_pipe_buf_ops,而内容又存在内核的 .data段内:
因为在内核中的.data和.text段之间的偏移固定,我们可以计算内核程序代码基地址。
这就又要用到堆喷技术了,在上面我们提到有一段内核内存被sk_buff指向,同时还被另一个消息队列给指针。
利用消息队列释放该段内核内存。随后,调用大量的pipe()函数来实现堆喷,找回刚才被释放的内核内存。
这样同一块内核内存就被 pipe 和 sk_buff同时指向,同时具有操作权。
而const struct pipe_buf_operations *ops 中有一个名为 release的回调函数,会在 pipe被闭时实调用到。
利用内核内存部署上我们的ROP攻击链(也就是我们要提升权限的函数),把并ROP链的触发写到ops的release内。
ROP链代码:
最后关闭pipe会调用release,也是会执行到我们的权限提升函数,得到root权限。
到此已完成了漏洞的利用。再利用root权限返回一个root权限的shell。
6 修复建议
请尽快升级Linux内核到安全版本,如下:
Linux Kernel 5.12(b29c457a6511435960115c0f548c4360d5f4801d),5.10.31, 5.4.113, 4.19.188, 4.14.231, 4.9.267, 4.4.267.
临时修补建议:
RedHat建议,用户可通过以下命令禁止非特权用户执行CLONE_NEWUSER、CLONE_NEWNET来执行此漏洞:
echo 0 > /proc/sys/user/max_user_namespaces
https://github.com/google/security-research/blob/master/pocs/linux/cve-2021-22555/writeup.md
https://github.com/google/security-research/security/advisories/GHSA-xxx5-8mvq-3528
本文由哈喽比特于3年以前收录,如有侵权请联系我们。
文章来源:https://mp.weixin.qq.com/s/zFDNafu6ArKKwmlkwf-A6w
京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。
日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。
据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。
今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。
日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。
近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。
据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。
9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...
9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。
据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。
特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。
据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。
近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。
据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。
9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。
《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。
近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。
社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”
2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。
罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。
