Linux eBPF JIT权限提升缝隙(CVE-2020-27194)分析与验证

颁布功夫 2020-11-03

缝隙布景


近日,国外安全钻研人员披露一个Linux eBPF verifier组件谬误验证缝隙,此缝隙源于bpf验证系统在Linux内核中没有正确推算某些操作的寄放器天堑跟踪,导致本地攻击者能够利用此缺点进行内核信息泄露或特权提升,该缝隙编号为CVE-2020-27194。。


影响领域与防护措施


1、、影响领域

  • Linux-5.7 ~ Linux-5.8.14

  • Ubuntu 20.10

2、、防护措施

  • 实时更新升级内核;

  • 将kernel.unprivileged_bpf_disabled.sysctl设置为1,一时限度通常用户权限。。

缝隙道理与调试分析


1、、缝隙道理


该缝隙和Pwn2own2020角逐中使用的CVE-2020-8835缝隙道理一致,均是谬误推算了寄放器天堑跟踪,导致能够绕过验证器查抄达到越界读写。。缺点代码呈此刻kernel/bpf/verifier.c的scalar32_min_max_or()函数中,该函数是在commit_id: :3f50f132d840中引入的,该职能实现了显式的ALU32(32位推算类操作)寄放器天堑跟踪,处置OR运算时,挪用scalar32_min_max_or()函数进行32位寄放器天堑跟踪,该函数实现如下: :


640?wx_fmt=png


行5365和行5366,直接将dst_reg寄放器中的64位无符号值赋值给32位有符号值,这显著是谬误的。。例如设置dst_reg->umin_value=1,dst_reg->umax_value=0x600000001,当进行如上操作后,dst_reg->s32_min_value为1,但是dst_reg->s32_max_value也将是1,由于0x600000001的高位将被截断,这时dst_reg寄放器的领域从[1,0x600000001]造成了[1,1],这会被验证器鉴别为常数1,进而绕过验证器查抄。。缝隙补丁中,进行了正确的32位有符号值赋值操作,如下所示: :


640?wx_fmt=png 


2、、调试分析


首先将寄放器的umin_value设置为0x1,能够通过如下BPF指令实现: :


640?wx_fmt=png


此时,寄放器的状态如下所示: :


640?wx_fmt=png


设置完umin_value后,设置umax_value为0x600000001,能够通过如下BPF指令实现: :


640?wx_fmt=png


断点射中后,挪用栈如下所示: :


640?wx_fmt=png


执行完BPF_JMP_REG(BPF_JLT,BPF_REG_6,BPF_REG_5,1)指令后,将R6寄放器领域设置为0x1到0x600000001之间。。R6寄放器状态如下所示: :


640?wx_fmt=png


接着,设置R6寄放器中32位的无符号最小值和最大值,


640?wx_fmt=png


设置完之后,R6寄放器状态如下所示: :


640?wx_fmt=png


红框中设置的值是必必要保障的,必要提前进行设置,方便后面绕过if判断进入缺点代码块中。。接着设置R6寄放器32位有符号最小值和最大值,代码如下所示: :


640?wx_fmt=png


行5355,if语句判断不成立,会走到行5362分支中,调试情况如下所示: :


640?wx_fmt=png


触发缝隙后,R6寄放器状态如下: :


640?wx_fmt=png


此时s32_min_value和s32_max_value都为0x1,在验证器中,R6寄放器的32位有符号取值为常数1。。但R6寄放器的取值现实是有领域的。。接着将R6寄放器进行32位MOV到R7寄放器中,执行到如下代码所示: :


640?wx_fmt=png


此时,src_reg寄放器如下所示: :


640?wx_fmt=png


执行MOV操作之前,R7寄放器状态如下所示: :


640?wx_fmt=png


执行MOV操作后,R7寄放器状态如下所示: :

640?wx_fmt=png


R7寄放器为常量1,现实运行情况下是有领域的,能够设置为2。。执行BPF_ALU64_IMM(BPF_RSH,BPF_REG_7,1)后,即R7 >>= 1,R7寄放器如下所示: :


640?wx_fmt=png


此时umin_value和umax_value为0,即为R7寄放器进行右移操作后,在验证器中被鉴别为常数0,此时R7寄放器进行加减运算都不会产生越界,绕过了验证器的天堑查抄。。但是若是R7寄放器现实设置为2,2>>1为1,R7寄放器为1,此时和R7寄放器进行加减运算,达到越界读写。。


缝隙复现


在Linux-5.7.7版本中进行缝隙利用,成功提权。。


640?wx_fmt=png


参考链接: :


[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27194

[2] https://github.com/torvalds/linux/commit/5b9fbeb75b6a98955f628e205ac26689bcb1383e

[3] https://github.com/torvalds/linux/commit/3f50f132d8400e129fc9eb68b5020167ef80a244

[4] https://scannell.me/fuzzing-for-ebpf-jit-bugs-in-the-linux-kernel/


OG东方厅积极防御尝试室(ADLab)


ADLab成立于1999年,是中国安全行业最早成立的攻防技术钻研尝试室之一,微软MAPP打算主题成员,“黑雀攻击”概念首推者。。截止目前,ADLab已通过CVE累计颁布安全缝隙近1100个,通过 CNVD/CNNVD累计颁布安全缝隙900余个,持续维持国际网络安全领域一流水准。。尝试室钻研方向涵盖操作系统与利用系统安全钻研、、移动智能终端安全钻研、、物联网智能设备安全钻研、、Web安全钻研、、工控系统安全钻研、、云安全钻研。。钻研成就利用于产品主题技术钻研、、国度重点科技项目攻关、、专业安全服务等。。


1.jpg