《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Linux TIPC模塊任意代碼執(zhí)行漏洞

Linux TIPC模塊任意代碼執(zhí)行漏洞

2021-11-08
來(lái)源:嘶吼專業(yè)版
關(guān)鍵詞: 代碼 漏洞

  SentinelLab研究人員發(fā)現(xiàn)Linux Kernel TIPC(Transparent Inter Process Communication,透明進(jìn)程間通信)模塊中的一個(gè)安全漏洞,,攻擊者利用該漏洞可以在本地或遠(yuǎn)程區(qū)塊下在kernel內(nèi)執(zhí)行任意代碼,,并完全控制有漏洞的機(jī)器,。

  Linux TIPC協(xié)議

  TIPC協(xié)議是允許集群中節(jié)點(diǎn)在存在大量節(jié)點(diǎn)容錯(cuò)的情況下進(jìn)行通信的協(xié)議,。該協(xié)議在Linux kernel模塊中實(shí)現(xiàn),并包含在大多數(shù)Linux發(fā)行版中,。當(dāng)用戶加載時(shí),,TIPC可以用作socket并可以使用netlink在接口上進(jìn)行配置。TIPC可以配置為在Ethernet或UDP協(xié)議之上運(yùn)行,。但是低權(quán)限的用戶是無(wú)法創(chuàng)建Ethernet幀,,因此使用UDP更容易實(shí)現(xiàn)本地漏洞利用。

  雖然TIPC是在這些協(xié)議之上運(yùn)行的,,但有獨(dú)立的地址方案,,節(jié)點(diǎn)可以選擇自己的地址。TIPC協(xié)議以對(duì)用戶透明的方式工作,。所有的消息構(gòu)造和分析都是在kernel中進(jìn)行的,。每個(gè)TIPC消息都有相同的通用header格式和消息特定的header。

  對(duì)該漏洞來(lái)說(shuō),,通用header最重要的部分是Header Size和message size,。TIPC消息header如下所示:

  微信圖片_20211108172109.jpg

  TIPC消息header

  這兩個(gè)size大小是由tipc_msg_validate函數(shù)來(lái)進(jìn)行驗(yàn)證的:

  微信圖片_20211108172112.jpg

  TIPC漏洞

  2020年9月引入了一個(gè)新的用戶消息類型——MSG_CRYPTO,該消息類型允許節(jié)點(diǎn)發(fā)送加密的秘鑰,。該消息結(jié)構(gòu)如下所示:

  struct tipc_aead_key {

  char alg_name[TIPC_AEAD_ALG_NAME];

  unsigned int keylen;       /* in bytes */

  char key[];

  };

  其中 TIPC_AEAD_ALG_NAME是32位的宏,。消息接收后,TIPC kernel模塊需要復(fù)制該信息到該節(jié)點(diǎn)來(lái)存儲(chǔ):

  /* Allocate memory for the key */

  skey = kmalloc(size, GFP_ATOMIC),;

  /* … */

  /* Copy key from msg data */

  skey->keylen = ntohl(*((__be32 *)(data + TIPC_AEAD_ALG_NAME))),;

  memcpy(skey->alg_name, data, TIPC_AEAD_ALG_NAME);

  memcpy(skey->key, data + TIPC_AEAD_ALG_NAME + sizeof(__be32),,

  skey->keylen),;

  用來(lái)分配的size大小與message payload的size大小是相同的。密鑰算法和密鑰本身也都會(huì)被復(fù)制,。

  從上面的代碼可以看出,,Header Size和message size大小都會(huì)與真實(shí)的包大小來(lái)對(duì)比驗(yàn)證有效性。如果這兩個(gè)值都在真實(shí)包大小的范圍內(nèi),,MSG_CRYPTO 消息的keylen或密鑰算法本身都不會(huì)再去檢查message大小,。也就是說(shuō),攻擊者可以創(chuàng)建一個(gè)size大小比較小的包來(lái)分配堆內(nèi)存,,然后用keylen屬性中的任意大小來(lái)在該位置的邊界外進(jìn)行寫操作:

  微信圖片_20211108172116.jpg

  可以觸發(fā)該漏洞的MSG_CRYPTO消息示例

  微信圖片_20211108172119.jpg

  漏洞利用

  該漏洞可以在本地或遠(yuǎn)程利用,。由于對(duì)kernel堆中分配的對(duì)象的控制更多,因此本地利用更加容易一些,。如下所示,,攻擊者可以創(chuàng)建一個(gè)20字節(jié)的包,并設(shè)置message size為10字節(jié),并繞過(guò)檢查:

  目前補(bǔ)丁也已經(jīng)發(fā)布,,完整技術(shù)細(xì)節(jié)參見:

https://www.sentinelone.com/labs/tipc-remote-linux-kernel-heap-overflow-allows-arbitrary-code-execution/




電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com,。