Lỗ hổng Linux Kernel 19 năm tuổi cho phép kẻ tấn công leo thang đặc quyền Root

Lỗ hổng Linux Kernel 19 năm tuổi cho phép kẻ tấn công leo thang đặc quyền Root

Một lỗ hổng bảo mật đã ẩn mình trong nhân Linux suốt 19 năm vừa được phát hiện, cho phép những người dùng có quyền hạn thấp có thể leo thang đặc quyền để có quyền truy cập cấp root trên nhiều bản phân phối Linux khác nhau. Vấn đề này, được đặt tên là CIFSwitch, ảnh hưởng đến hệ thống con CIFS của nhân Linux và công cụ hỗ trợ người dùng (userspace helper) cifs-utils mà nó sử dụng để xử lý xác thực.

Lỗ hổng bảo mật Linux

Chi tiết kỹ thuật về lỗ hổng CIFSwitch

Hệ thống con CIFS chịu trách nhiệm xử lý các phần của giao thức hệ thống tệp mạng SMB, chẳng hạn như gắn kết chia sẻ (mounting shares), hành động đọc/ghi và giao tiếp SMB với máy chủ. Khi xác thực một gắn kết, hệ thống con sẽ gửi một lệnh gọi request_key cho một khóa cifs.spnego. Yêu cầu này sẽ kiểm tra khóa trong không gian người dùng và gọi cifs.upcall với quyền root để phân tích mô tả khóa, trong đó chứa các trường như UID, PID, bộ đệm thông tin xác thực và không gian tên.

Theo Asim Viladi Oglu Manizada, kỹ sư bảo mật tại SpaceX, nhân không kiểm tra nguồn gốc của yêu cầu và mô tả khóa. Điều này cho phép kẻ tấn công gọi trực tiếp hàm request_key và cung cấp các trường mô tả khóa của riêng mình, qua đó bỏ qua nguồn gốc CIFS hợp pháp.

Cơ chế tấn công và hậu quả

Vì cifs.upcall được gọi với quyền root, trình trợ giúp sẽ chuyển đổi sang không gian tên của PID được cung cấp trong mô tả khóa đã bị sửa đổi, cung cấp cho kẻ tấn công quyền truy cập root. Hơn nữa, trong quá trình hoạt động, trước khi các đặc quyền bị giảm xuống, trình trợ giúp cũng thực hiện tra cứu tài khoản thông qua Name Service Switch (NSS), cho phép tải các mô-đun NSS.

Bảo mật hệ thống

Manizada cho biết kẻ tấn công có thể lợi dụng điều này bằng cách đặt một tệp cấu hình NSS giả và một mô-đun NSS trong không gian tên của chúng. Kết quả là trình trợ giúp sẽ tải mã do kẻ tấn công kiểm soát với quyền root.

Các hệ thống bị ảnh hưởng và giải pháp

Một số bản phân phối Linux cài đặt cifs-utils theo mặc định như Linux Mint, CentOS, Rocky Linux, Kali Linux, AlmaLinux và SLES SAP đều dễ bị tổn thương. Nhà nghiên cứu lưu ý rằng một số bản distro khác chỉ bị ảnh hưởng nếu cifs-utils được cài đặt thủ công.

May mắn thay, nhiều bản distro như Ubuntu, Fedora, CentOS, Rocky Linux, AlmaLinux, Oracle Linux, openSUSE và SLES đã chặn đường dẫn thực thi này theo mặc định. Amazon Linux 2 KVM và Kali Linux 2019.4/2020.4 không bị ảnh hưởng.

Các bản phân phối Linux lớn đã tung ra các bản sửa lỗi cho khiếm khuyết bảo mật này vào đầu tháng này. Manizada cũng đã công bố mã khai thác khái niệm (PoC) để giúp các chuyên gia phòng thủ "xác thực các bản vá, biện pháp giảm thiểu, phát hiện và mức độ tiếp xúc".

Về mặt kỹ thuật, lỗ hổng này có thể được giải quyết bằng cách chỉ coi các mô tả khóa là hợp lệ khi CIFS sử dụng spnego_cred riêng tư của nó, đồng thời triển khai tăng cường bảo mật trong không gian người dùng để kiểm tra xem mô tả khóa có thực sự do nhân tạo ra hay không.