一個內(nèi)核漏洞詳解：容器逃逸

時間：2021-09-03 10:08:22

關(guān)鍵字：內(nèi)核

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]CVE-2021-22555：一個影響2006年（Linuxkernelv2.6.19-rc1發(fā)布）至今（Linuxkernelv5.12-rc8）的所有Linux內(nèi)核版本的漏洞，可導致本地提權(quán)與容器逃逸；該漏洞是個內(nèi)核級漏洞，跟Linux的發(fā)行版本沒有關(guān)系，也就是說只要Linu...

CVE-2021-22555：一個影響2006年（Linux kernel v2.6.19-rc1 發(fā)布）至今（Linux kernel v5.12-rc8）的所有Linux內(nèi)核版本的漏洞，可導致本地提權(quán)與容器逃逸；該漏洞是個內(nèi)核級漏洞，跟Linux的發(fā)行版本沒有關(guān)系，也就是說只要Linux 內(nèi)核版本在v2.6.19-rc1 ～v5.12-rc8 之間的內(nèi)核，都存在被黑客利用該漏洞攻擊的可能。

該漏洞是由Andy Nguyen (theflow@)發(fā)現(xiàn)，于2021年07月16日發(fā)布。換句話說，該漏洞已經(jīng)存在了15年之久，都沒有被人發(fā)現(xiàn)。該漏洞將允許本地用戶通過用戶名空間獲取權(quán)限提升，和容器逃逸。

1.漏洞概述

漏洞編號	CVE-2021-22555
內(nèi)核組件	kernel-netfilter
漏洞類型	Linux?kernel堆溢出、特權(quán)提升
影響版本	Linux Kernel : v2.6.19-rc1?～?v5.12-rc8

簡述: Linux 內(nèi)核模塊Netfilter中存在一處權(quán)限提升漏洞，在 64位系統(tǒng) 上為 32位進程處理 setsockopt IPT_SO_SET_REPLACE（或 IP6T_SO_SET_REPLACE）時，如果內(nèi)核選項CONFIG_USER_NS 、CONFIG_NET_NS被開啟，則攻擊者可以通過該漏洞實現(xiàn)權(quán)限提升，以及從docker、k8s容器中實施容器逃逸。

2.漏洞環(huán)境和樣例

2.1.環(huán)境準備

Linux發(fā)行版：Ubuntu 20.04.2 LTS

Linux kernel 版本：5.8.0-48-generic

如圖：

2.2.利用樣例

3 漏洞原理

在Linux內(nèi)核代碼net/netfilter/x_tables.c中的 xt_compat_target_from_user 函數(shù)內(nèi)的第1129行，在使用memset()時并未對傳進來的參數(shù)進行校驗，會導致在寫0時，越過堆的大小，導致“堆溢出”，從而破壞堆與堆之間的邊界。

而寫超的0?的內(nèi)核內(nèi)存，剛好又在應(yīng)用層程序（惡意程序）通過堆噴技術(shù)拿到感知控制。通過搜索，可以找到被寫超的內(nèi)核內(nèi)存；惡意程序在應(yīng)用層建立與這段內(nèi)核內(nèi)存的聯(lián)系，把要執(zhí)行代碼commit_creds(prepare_kernel_cred(NULL))封裝到回調(diào)函數(shù)內(nèi)；利用內(nèi)核機制在內(nèi)核內(nèi)存中建立與回調(diào)機制使用關(guān)系，再把剛才封裝的函數(shù)地址更新到內(nèi)核內(nèi)存中。當主動釋放這段內(nèi)核內(nèi)存，觸發(fā)回調(diào)函數(shù)，從而調(diào)用到commit_creds()函數(shù)把權(quán)限升級到root權(quán)限。