一個(gè)內(nèi)核漏洞詳解：容器逃逸

時(shí)間：2021-09-03 10:08:22

關(guān)鍵字：內(nèi)核

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]CVE-2021-22555：一個(gè)影響2006年（Linuxkernelv2.6.19-rc1發(fā)布）至今（Linuxkernelv5.12-rc8）的所有Linux內(nèi)核版本的漏洞，可導(dǎo)致本地提權(quán)與容器逃逸；該漏洞是個(gè)內(nèi)核級(jí)漏洞，跟Linux的發(fā)行版本沒有關(guān)系，也就是說(shuō)只要Linu...

CVE-2021-22555：一個(gè)影響2006年（Linux kernel v2.6.19-rc1 發(fā)布）至今（Linux kernel v5.12-rc8）的所有Linux內(nèi)核版本的漏洞，可導(dǎo)致本地提權(quán)與容器逃逸；該漏洞是個(gè)內(nèi)核級(jí)漏洞，跟Linux的發(fā)行版本沒有關(guān)系，也就是說(shuō)只要Linux 內(nèi)核版本在v2.6.19-rc1 ～v5.12-rc8 之間的內(nèi)核，都存在被黑客利用該漏洞攻擊的可能。

該漏洞是由Andy Nguyen (theflow@)發(fā)現(xiàn)，于2021年07月16日發(fā)布。換句話說(shuō)，該漏洞已經(jīng)存在了15年之久，都沒有被人發(fā)現(xiàn)。該漏洞將允許本地用戶通過(guò)用戶名空間獲取權(quán)限提升，和容器逃逸。

1.漏洞概述

漏洞編號(hào)	CVE-2021-22555
內(nèi)核組件	kernel-netfilter
漏洞類型	Linux?kernel堆溢出、特權(quán)提升
影響版本	Linux Kernel : v2.6.19-rc1?～?v5.12-rc8

簡(jiǎn)述: Linux 內(nèi)核模塊Netfilter中存在一處權(quán)限提升漏洞，在 64位系統(tǒng) 上為 32位進(jìn)程處理 setsockopt IPT_SO_SET_REPLACE（或 IP6T_SO_SET_REPLACE）時(shí)，如果內(nèi)核選項(xiàng)CONFIG_USER_NS 、CONFIG_NET_NS被開啟，則攻擊者可以通過(guò)該漏洞實(shí)現(xiàn)權(quán)限提升，以及從docker、k8s容器中實(shí)施容器逃逸。

2.漏洞環(huán)境和樣例

2.1.環(huán)境準(zhǔn)備

Linux發(fā)行版：Ubuntu 20.04.2 LTS

Linux kernel 版本：5.8.0-48-generic

如圖：

2.2.利用樣例

3 漏洞原理

在Linux內(nèi)核代碼net/netfilter/x_tables.c中的 xt_compat_target_from_user 函數(shù)內(nèi)的第1129行，在使用memset()時(shí)并未對(duì)傳進(jìn)來(lái)的參數(shù)進(jìn)行校驗(yàn)，會(huì)導(dǎo)致在寫0時(shí)，越過(guò)堆的大小，導(dǎo)致“堆溢出”，從而破壞堆與堆之間的邊界。

而寫超的0?的內(nèi)核內(nèi)存，剛好又在應(yīng)用層程序（惡意程序）通過(guò)堆噴技術(shù)拿到感知控制。通過(guò)搜索，可以找到被寫超的內(nèi)核內(nèi)存；惡意程序在應(yīng)用層建立與這段內(nèi)核內(nèi)存的聯(lián)系，把要執(zhí)行代碼commit_creds(prepare_kernel_cred(NULL))封裝到回調(diào)函數(shù)內(nèi)；利用內(nèi)核機(jī)制在內(nèi)核內(nèi)存中建立與回調(diào)機(jī)制使用關(guān)系，再把剛才封裝的函數(shù)地址更新到內(nèi)核內(nèi)存中。當(dāng)主動(dòng)釋放這段內(nèi)核內(nèi)存，觸發(fā)回調(diào)函數(shù)，從而調(diào)用到commit_creds()函數(shù)把權(quán)限升級(jí)到root權(quán)限。

4 前導(dǎo)技術(shù)知識(shí)點(diǎn)

4.1 UAF (Use-After-Free)

是一個(gè)與程序運(yùn)行期間不正確使用動(dòng)態(tài)內(nèi)存相關(guān)的漏洞利用方式。

程序在釋放內(nèi)存位置后，系統(tǒng)不會(huì)馬上回收內(nèi)存。指針指向的那段內(nèi)存依然存在，并且內(nèi)容沒有被清除，攻擊者可以利用該錯(cuò)誤來(lái)入侵該程序。（本次漏洞重點(diǎn)使用。通過(guò)UAF，可以達(dá)到同一塊內(nèi)存在不同的操作對(duì)象之間交換控制管理權(quán)）