怎样在Linux中实行漏洞复现,Linux eBPF JIT权限提升漏洞(CVE-2020-27194)分析与验证...

于 2021-05-16 02:25:16 发布
阅读量371 收藏
点赞数 1
文章标签: 怎样在Linux中实行漏洞复现

漏洞背景

近日,国外安全研究人员披露一个Linux eBPF verifier组件错误验证漏洞,此漏洞源于bpf验证系统在Linux内核中没有正确计算某些操作的寄存器边界跟踪,导致本地攻击者可以利用此缺陷进行内核信息泄露或特权提升,该漏洞编号为CVE-2020-27194。

影响范围与防护措施1、影响范围Linux-5.7 ~ Linux-5.8.14

Ubuntu 20.10

2、防护措施及时更新升级内核;

将kernel.unprivileged_bpf_disabled.sysctl设置为1,临时限制普通用户权限。

漏洞原理与调试分析

1、漏洞原理

该漏洞和Pwn2own2020比赛中使用的CVE-2020-8835漏洞原理一致,均是错误计算了寄存器边界跟踪,导致可以绕过验证器检查达到越界读写。缺陷代码出现在kernel/bpf/verifier.c的scalar32_min_max_or()函数中,该函数是在commit_id:3f50f132d840中引入的,该功能实现了显式的ALU32(32位计算类操作)寄存器边界跟踪,处理OR运算时,调用scalar32_min_max_or()函数进行32位寄存器边界跟踪,该函数实现如下:

0b9d249e46fdd9cb51277ed77c560b3d.png

行5365和行5366,直接将dst_reg寄存器中的64位无符号值赋值给32位有符号值,这明显是错误的。例如设置dst_reg->umin_value=1,dst_reg->umax_value=0x600000001,当进行如上操作后,dst_reg->s32_min_value为1,但是dst_reg->s32_max_value也将是1,因为0x600000001的高位将被截断,这时dst_reg寄存器的范围从[1,0x600000001]变成了[1,1],这会被验证器识别为常数1,进而绕过验证器检查。漏洞补丁中,进行了正确的32位有符号值赋值操作,如下所示:

484d6f9b31e63c2d5c0e0f5aa8866986.png

2、调试分析

首先将寄存器的umin_value设置为0x1,可以通过如下BPF指令实现:

169a467c8efc0c0794b4de85a65c4602.png

此时,寄存器的状态如下所示:

e9932c6f170d074bee26d94d7432bc96.png

设置完umin_value后,设置umax_value为0x600000001,可以通过如下BPF指令实现:

af83f50036cf205b7e720ce7a60a7728.png

断点命中后,调用栈如下所示:

db93dab7dfa3b2284c5cb4b9d62304b6.png

执行完BPF_JMP_REG(BPF_JLT,BPF_REG_6,BPF_REG_5,1)指令后,将R6寄存器范围设置为0x1到0x600000001之间。R6寄存器状态如下所示:

b1cb95d576aba6df02fb8662511240ec.png

接着,设置R6寄存器中32位的无符号最小值和最大值,

13c475a8107c7f15ed6813696c8fb7d8.png

设置完之后,R6寄存器状态如下所示:

55b7a0bfcc4efb83c3105f9bd4809ff7.png

红框中设置的值是必须要保证的,需要提前进行设置,方便后面绕过if判断进入缺陷代码块中。接着设置R6寄存器32位有符号最小值和最大值,代码如下所示:

38dd3de8575dfefab1f513ff9cdfaeb4.png

行5355,if语句判断不成立,会走到行5362分支中,调试情况如下所示:

663db4af4c945a20dea0423f655e152a.png

触发漏洞后,R6寄存器状态如下:

6b805b8d285e159f931be32117c79c62.png

此时s32_min_value和s32_max_value都为0x1,在验证器中,R6寄存器的32位有符号取值为常数1。但R6寄存器的取值实际是有范围的。接着将R6寄存器进行32位MOV到R7寄存器中,执行到如下代码所示:

e489f78f4bf05661a46d37e19e59f132.png

此时,src_reg寄存器如下所示:

6ae5bf4f7332c4f8e15314c9ade946ee.png

执行MOV操作之前,R7寄存器状态如下所示:

e1f5a88fd6b5f43e1485dad819bc1479.png

执行MOV操作后,R7寄存器状态如下所示:

5fe758007538b8801d66faef7c69e05e.png

R7寄存器为常量1,实际运行情况下是有范围的,可以设置为2。执行BPF_ALU64_IMM(BPF_RSH,BPF_REG_7,1)后,即R7 >>= 1,R7寄存器如下所示:

0ba2c7577a2cdf533c317b4bab3bc3c7.png

此时umin_value和umax_value为0,即为R7寄存器进行右移操作后,在验证器中被识别为常数0,此时R7寄存器进行加减运算都不会发生越界,绕过了验证器的边界检查。但是如果R7寄存器实际设置为2,2>>1为1,R7寄存器为1,此时和R7寄存器进行加减运算,达到越界读写。

漏洞复现

在Linux-5.7.7版本中进行漏洞利用,成功提权。

48de4286f11818cf7847a0cd9aaf0a61.png

参考链接:

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27194

[2] https://github.com/torvalds/linux/commit/5b9fbeb75b6a98955f628e205ac26689bcb1383e

[3] https://github.com/torvalds/linux/commit/3f50f132d8400e129fc9eb68b5020167ef80a244

[4] https://scannell.me/fuzzing-for-ebpf-jit-bugs-in-the-linux-kernel/

启明星辰积极防御实验室(ADLab)

ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞近1100个,通过 CNVD/CNNVD累计发布安全漏洞900余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。

苗苗小姐
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值