Najdena varnostna luknja v požarnem zidu Linux netfilter

Za skoraj vsemi orodji požarnih zidov Linuxa, kot je npr iptables; njena novejša različica, nftables; požarni zid; in ufw, je netfilter, ki nadzoruje dostop do in iz omrežnega sklada Linuxa. Je bistven varnostni program za Linux, zato je velika stvar, ko se v njem odkrije varnostna luknja.

Nick Gregory, a Sophos raziskovalec groženj, je našel to pred kratkim med preverjanjem netfilterja za morebitne varnostne težave. Gregory zelo podrobno razloži svoj lov na hrošče in ga priporočam tistim, ki želijo vpogled v iskanje napak C. Toda za tiste, ki želite le prekiniti bistvo, je tukaj zgodba.

To je resna napaka. Natančneje, to je kopica težav pri zapisovanju izven meja z netfilterjem jedra. Gregory je rekel, da ga je " mogoče izkoristiti za doseganje izvajanja kode jedra (prek

ROP [povratno usmerjeno programiranje]), ki omogoča popolno lokalno stopnjevanje privilegijev, pobeg iz vsebnika, karkoli želite." Fuj!

Ta težava obstaja, ker je netfilter ne obravnava funkcija razbremenitve strojne opreme pravilno. Lokalni, neprivilegirani napadalec lahko to uporabi za povzročitev zavrnitve storitve (DoS), izvajanje poljubne kode in povzroči splošno zmedo. Še več, to deluje, tudi če strojna oprema, ki je napadena, nima funkcije razbremenitve! To je zato, ker je Gregory zapisal varnostnemu seznamu: »Kljub temu, da je v kodi, ki obravnava razbremenitev strojne opreme, je to dosegljiv pri ciljanju na omrežne naprave, ki nimajo funkcije razbremenitve (npr. lo), saj se napaka sproži, preden ustvarjanje pravila ne uspe."

tudi: Najboljše distribucije Linuxa za začetnike: To zmorete!

Ta ranljivost je prisotna v različicah jedra Linuxa od 5.4 do 5.6.10. Navedena je kot pogoste ranljivosti in izpostavljenosti (CVE-2022-25636) in z oceno 7,8 po sistemu skupnega točkovanja ranljivosti (CVSS) je to prava slabost.

Kako slabo? V svojem svetovanju je rdeč klobuk  rekel: "Ta napaka omogoča a lokalni napadalec z uporabniškim računom v sistemu za dostop v pomnilnik izven meja, kar vodi do zrušitve sistema ali grožnje stopnjevanja privilegijev." Torej, da, to je slabo.

Še huje, vpliva na nedavne večje distribucijske izdaje, kot je Red Hat Enterprise Linux (RHEL) 8.x; Debian Bullseye; Ubuntu Linux, in SUSE Linux Enterprise 15.3. Medtem ko je Popravek netfilter jedra Linuxa narejen, popravek še ni na voljo v vseh izdajah distribucije.

Če še nimate popravka, lahko težavo v družini RHEL ublažite z ukazi:

# echo 0 > /proc/sys/user/max_user_namespaces

# sudo sysctl --system

In v družini Debian/Ubuntu z ukazom:

$ sudo sysctl kernel.unprivileged_userns_clone=0

Torej, spet smo tukaj. Nisem videl dobrega izkoriščanja tega, vendar sem videl takega, ki deluje približno polovico časa. Če ne želite, da bi vam strežnike Linux ukradli izpod vas ali pa jih preprosto zrušili z omrežja, je čas, da popravite sistem ali ga zaklenete, da se izognete težavam.

Poglej tudi

• Razvijalci Linuxa zakrpajo varnostne luknje hitreje kot kdorkoli drug, pravi Google Project Zero
• Poskus pretresanja uporabnikov Linuxa zaradi uporabe kode Netfilter je rešen
• Odkrita velika varnostna ranljivost Linux PolicyKit: Pwnkit