Een kwetsbaarheid voor het uitvoeren van code is gepatcht in de TIPC-module van de Linux Kernel.
De module Transparent Inter Process Communication (TIPC) is ontworpen om intra-cluster communicatie via Ethernet- of UDP-verbindingen en is in staat tot adressering, tracking, communicatie tussen knooppunten en meer.
Dit protocol is geïmplementeerd in een kernelmodulepakket met grote Linux-distributies.
Donderdag zeiden SentinelOne-onderzoekers dat CodeQL recentelijk is gebruikt bij onderzoek naar bugs in open source-projecten. CodeQL is een semantische code-analyse-engine waarmee gebruikers code kunnen opvragen “als ware het gegevens”, en het was deze tool waarmee het team een ernstige bug in het TIPC-moduleproject kon vinden.
Volgens de onderzoekers werd een heap-overflow-kwetsbaarheid ontdekt die zowel lokaal als op afstand kon worden misbruikt om privileges op kernelniveau te verkrijgen, “waardoor een aanvaller niet alleen een enkele service, maar het hele systeem zelf kan compromitteren.”
SentinelOne ontdekte dat een functie die in september 2020 werd geïntroduceerd als onderdeel van de routekaart van de TIPC-module, een nieuw type gebruikersbericht genaamd MSG_CRYPTO, de oorzaak van het probleem was.
Hoewel de module de grootte van berichten en headers correct valideert ten opzichte van de ontvangen pakketlengtes, is er een gebrek aan validatie voor het keylen-lid van het MSG_CRYPTO-bericht en de grootte van de namen van sleutelalgoritmen.
“Dit betekent dat een aanvaller een pakket met een kleine lichaamsgrootte kan maken om heapgeheugen toe te wijzen, en vervolgens een willekeurige grootte in het keylen-attribuut kan gebruiken om buiten de grenzen te schrijven”, legden de onderzoekers uit. “Deze kwetsbaarheid kan zowel lokaal als op afstand worden misbruikt.”
“Terwijl lokale exploitatie gemakkelijker is vanwege een grotere controle over de objecten die in de kernelheap zijn toegewezen, kan exploitatie op afstand worden bereikt dankzij de structuren die TIPC ondersteunt.”
De beveiligingsfout heeft gevolgen voor kernelversie 5.10.
Er is momenteel geen bewijs van misbruik in het wild en er moet ook worden opgemerkt dat hoewel de module wordt meegeleverd met grote distributies, deze moet worden geladen voordat het protocol wordt ingeschakeld – en dus alleen builds met deze functie actief kunnen kwetsbaar zijn voor misbruik.
SentinelOne meldde de fout op 19 oktober aan het Kernel.org-team. Een patch werd op 21 oktober voltooid door de beheerders van de module en vier dagen later uitgebracht op lore.kernel.org. De fix is nu ook toegevoegd aan de hoofdrepository, uitgebracht op 29 oktober onder versie 5.15.
Eerdere en gerelateerde berichtgeving
FontOnLake-malware treft Linux-systemen met gerichte aanvallen
Linux Foundation voegt beveiliging van softwaretoeleveringsketen toe aan LFX
Microsoft heeft berouw van zijn open-source .NET-blunder
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Linux | Beveiliging TV | Gegevensbeheer | CXO | Datacenters