一位安全研究人员发布了 Linux 内核 eBPF(扩展伯克利数据包过滤器)中一个高危漏洞的利用代码,该漏洞可以为攻击者提供更高的 Ubuntu 机器权限。
该错误被跟踪为 CVE-2021-3490。它在 5 月份被披露并且是一种特权升级,因此利用它需要在目标机器上进行本地访问。
eBPF 是一种技术,它使用户提供的程序能够在操作系统内核中以沙盒方式运行,由特定事件或功能(例如系统调用、网络事件)触发。
拒绝服务也是可能的
与趋势科技零日计划合作的RedRocket CTF 团队的Manfred Paul报告了该错误。他们发现 CVE-2021-3490 可以变成内核中的越界读写。
问题在于用户提供的程序在执行之前没有经过适当的验证过程。如果利用得当,本地攻击者可以获得内核权限,在机器上运行任意代码。
在本周的一篇博文中,漏洞利用开发人员Valentina Palmiotti描述了 CVE-2021-3490 背后的技术细节及其在 Ubuntu 短期版本 20.10 (Groovy Gorilla) 和 21.04 (Hirsute Hippo) 上的利用。
Palmiotti 是 Grapl 的首席安全研究员,该公司为事件检测和响应提供基于图形的平台。
她对这个错误的研究还涵盖了触发漏洞以利用它来提升特权以及通过锁定所有可用内核线程在目标系统上创建拒绝服务 (DoS) 条件的具体细节。
研究人员为 CVE-2021-3490 创建了概念验证漏洞利用代码并将其发布在 GitHub 上。下面提供了演示漏洞利用有效性的视频:
今年早些时候,微软宣布了一个名为ebpf-for-windows的新开源项目,该项目允许开发人员在 Windows 之上使用 eBPF 技术。
这可以通过为现有eBPF 项目添加兼容层来实现,以便它们可以在 Windows 10 和 Windows Server 中充当子模块。
将 eBPF 移植到 Windows 仍然是一个早期的项目,有很多发展前景。Palmiotti 对 CVE-2021-3490 的研究仅限于 Linux 实现。研究人员告诉 BleepingComputer,因此,她的漏洞在当前形式的 Windows 上不起作用。
PoC 是为 Groovy Gorilla 内核 5.8.0-25.26 到 5.8.0-52.58 和 Hirsute Hippo 内核版本 5.11.0-16.17 设计的。 两个 Ubuntu 版本都发布了补丁。