زخمی 2 ساله بر پیکر هسته لینوکس

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q264

 

آسیب پذیری که حدود 2 سال پیش بر روی هسته لینوکس منتشر شده بود، اما در آن زمان زیاد مورد توجه قرار نگرفته بود، حالا به عنوان یک آسیب پذیری جدی از نوع Local Privilege Escalationخود را معرفی کرده است. این آسیب پذیری که دارای شماره شناسه CVE-2017-1000253می باشد در آپریل 2015 توسط آقای Michael Davidsonاز تیم امنیتی گوگل معرفی شده بود. از زمانی که این آسیب پذیری جدی گرفته نشده بود، از نسخه 3.10.77هسته لینوکس به بعد، نسخه رفع شده این آسیب پذیری منتشر نشده است.

به هر حال، هم اکنون محققان Qualys Research Labsموفق به کشف این آسیب پذیری شده اند و Exploitآن را هم توسعه داده اند. این Exploitکه برای عملیات Local Privilege Escalationآماده شده است بر روی توزیع های معروفی همچون RedHat، Debianو CentOSجوابگو می باشد. نسخه دقیق توزیع های آسیب پذیر عبارتند از:

· All versions of CentOS 7 before 1708 (released on September 13, 2017)
· All versions of Red Hat Enterprise Linux 7 before 7.4 (released on August 1, 2017)
· All versions of CentOS 6
· Red Hat Enterprise Linux 6

این آسیب پذیری که دارای رده بندی امتیاز 7.8از 10را در CVSS3دریافت کرده است، در بخش ELF executablesهای هسته لینوکس موجود می باشد که منجرب به تخریب بخشی از حافظه می شود. محققان موفق شدند کاربری را با دسترسی سطح پایین و SUIDمشخص که توانایی اجرای کدهای باینری PIEرا دارد را توسط این آسیب پذیری به سطحی از دسترسی برسانند که توانایی اعمال تغییرات سطح بالا را بر روی سیستم عامل داشته باشد.

جهت جلوگیری از اجرای Exploitاین آسیب پذیری، می توان مقدار متغیر vm.legacy_va_layoutدر هسته لینوکس را برابر 1 قرار داد تا زمانی که در نسخه بعدی Kernelاین آسیب پذیری مرتفع گردد. مرکز Qualysاعلام کرده است که این نقص برای PIEهایی که سگمنت read/writeآنها بیشتر از 128 مگابایت می باشد محدودیتی ندارد، که این خود نشان دهنده ی آن است که کمترین فاصله بین mmap_baseو بالاترین سطح آدرس در stackوجود دارد. پس اگر بیش از یک و نیم میلیون رشته حرفی را تابع execve()را handleکند، تمامی PIEها در حافظه مججد نوشته می شوند که این خود باعث بوجود آمدن این آسیب پذیری می شود.

توزیع های لینوکسی RedHat، Debianو CentOSبه روز رسانی هایی را برای جلوگیری از نفوذ توسط این آسیب پذیری منتشر کرده اند. البته تیم Qualysهم قول داده است که PoC Exploitاین آسیب پذیری برای توزیع Cetnos7که دارای هسته به نسخه های 3.10.0-514.21.2.el7.x86_64و همچنین 3.10.0-514.26.1.el7.x86_64می باشند را به زودی منتشر کند.