一、漏洞背景
近期,国外安全研究人员在oss-security上披露了一个AF_VSOCK套接字条件竞争高危漏洞CVE-2021-26708(CNVD-2021-10822、CNNVD-202102-529)。根据披露细节,该漏洞是由于错误加锁导致,可以在低权限下触发并自动加载易受攻击驱动模块创建AF_VSOCK套接字,进而导致本地权限提升。该漏洞补丁已经合并到Linux内核主线中。
二、VSOCK介绍和架构
2.1 VSOCK介绍
VM套接字最早是由Vmware开发并提交到Linux内核主线中。VM套接字允许虚拟机与虚拟机管理程序之间进行通信。虚拟机和主机上的用户级应用程序都可以使用VM 套接字API,从而促进guest虚拟机与其host之间的快速有效通信。该机制提供了一个vsock套接字地址系列及其vmci传输,旨在与接口级别的UDP和TCP兼容。VSOCK机制随即得到Linux社区的响应,Redhat在VSOCK中为vsock添加了virtio传输,QEMU/KVM虚拟机管理提供支持,Microsoft添加了HyperV传输。
2.2 VSOCK架构
VM套接字与其他套接字类型类似,例如Berkeley UNIX套接字接口。VM套接字模块支持面向连接的流套接字(例如TCP)和无连接数据报套接字(例如UDP)。VM套接字协议系列定义为“AF_VSOCK”,并且套接字操作分为SOCK_DGRAM和SOCK_STREAM。如下图所示:
VSOCK支持socket API。AF_SOCK地址簇包含两个要素:CID和port。 CID为Context Identifier,上下文标识符;port为端口。TCP/IP应用程序几乎不需要更改就可以适配,每一个地址表示为。还有一层为transport,VSOCK transport用于实现guest和host之间通信的数据通道。如下图所示:
Transport根据传输方向分为两种(以SOCK_STREAM类型为例),一种为G2H transport,表示guest到host的传输类型,运行在guest中。另一种为H2G transport,表示host到guest的传输类型。以QEMU/KVM传输为例,如下图所示:
该传输提供套接字层接口的驱动分为两个部分:一个是运行在guest中的virtio-transport,用于配合guest进行数据传输;另一个是运行在host中的vhost-transport,用于配合host进行数据传输。VSOCK transport还提供多传输通道模式,该功能是为了支持嵌套虚拟机中的VSOCK功能。如下图所示:
支持L1虚拟机同时加载H2G和G2H两个传输通道,此时L1虚拟机即是host也是guest,通过H2G传输通道和L2嵌套虚拟机通信,通过G2H传输通道和L0 host通信。VSOCK transport还支持本地环回传输通道模式,不需要有虚拟机。如下图所示:
该模式用于测试和调试,由vsock-loopback提供支持,并对地址簇中的CID进行了分类,包含两种类型:一种是VMADDR_CID_LOCAL,表示本地环回;一种为VMADDR_CID_HOST,表示H2G传输通道加载,G2H传输通道未加载。
三、漏洞分析与触发过程
3.1漏洞分析
该漏洞触发原因是错误加锁导致条件竞争,根据补丁可知,存在多处错误加锁,这里以
vsock_stream_setsockopt()函数补丁为例,如下图所示:
补丁很简洁,将第1564行代码移动到第1571行,中间就隔着第1569行代码:lock_sock(sk)。加锁前,vsk->transport已经赋值到transport变量中,这里产生了一个引用,然后才进行lock_sock(sk)将sk锁定。但是vsk->transport会在多处被调用甚至被释放,这就有可能通过条件竞争造成Use After Free。
3.2触发过程
首先找到修改或释放vsk->transport的调用路径,来看关键函数vsock_assign_transport()的实现。对于多传输模式,该函数用于根据不同CID分配不同的传输通道。实现代码如下图所示:
根据sk->sk_type分为SOCK_DGRAM和SOCK_STREAM,在SOCK_STREAM中,分为三种传输通道。这里可以通过将CID设置为本地环回模式,得到transport_local传输通道。接下来如下图所示:
如果vsk->transport不为空,则进入if语句。先判断vsk->transport是否等于new_transport,如果等于直接返回,在触发过程中,要保证能走到vsock_deassign_transport()函数,该函数是析构函数,用于释放transport。如下代码所示:
行411,调用vsk->transport->destruct(),要明确使用transport类型,前文已经确定使用transport_local。Transport_local为全局变量,会在vsock_core_register()函数中被初始化。该函数被调用情况如下图所示:
*_init()函数用来初始化transport的回调函数,根据第二部分介绍,vhost_vsock_init()、virtio_vsock_init()和vsock_loopback_init()函数为QEMU/KVM环境下的支持函数。我们发现transport->destruct()函数的最后实现都是同一个函数。如下图所示:
该destruct()函数释放vsk->trans,如下图所示:
而vsk->trans指针是指向transport的。结构体vsock_sock定义如下所示:
最终可以构造一个释放transport的函数路径为:vsock_stream_connect-> vsock_assign_transport->virtio_transport_destrcut。
找到了释放路径,下一步找使用路径,virtio_transport_notify_buffer_size()函数会使用transport。如下图所示:
第492行,通过vsk->trans获取指向transport的指针,第497行,解引用vvs指针,对vvs->buf_alloc进行赋值。而调用virtio_transport_notify_buffer_size()函数最终会被vsock_stream_setsockopt()函数调用。最终可以构造一个使用transport的函数路径为:vsock_stream_setsockopt-> vsock_update_buffer_size->virtio_transport_notify_buffer_size。
接下来就是营造一个抢锁的条件竞争环境,很明显必须是connect()系统调用先抢到锁对transport进行释放,然后再调用setsockopt()才能触发漏洞。有开发人员提出使用userfaultfd机制先将lock_sock锁定,然后在去释放锁,进行条件竞争。漏洞触发过程如下图所示:
蓝框中是connect()调用过程,最后调用virtio_transport_destruct()函数释放vsk->trans。红框中是setsockopt()调用过程,调用virtio_transport_notify_buffer_size()函数使用vvs,该值是0xffff888107a74500,在0xffff888107a74500+0x28处会写入4字节。
四、参考链接
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1504/
扫一扫
850
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
