پنجشنبه ۰۶ دی ۱۴۰۳ - ساعت :
۱۵ آبان ۱۳۹۶ - ۱۱:۲۵

زخم کهنه هسته لینوکس دوباره پدیدار شد

آسیب‌پذیری که حدود دو سال پیش بر روی هسته لینوکس منتشر شده بود اما در آن زمان زیاد مورد توجه قرار نگرفت حالا به عنوان یک آسیب‌پذیری جدی از نوع Local Privilege Escalation خود را معرفی کرده است.
کد خبر : ۳۸۷۷۸۲
صراط: آسیب‌پذیری که حدود دو سال پیش بر روی هسته لینوکس منتشر شده بود اما در آن زمان زیاد مورد توجه قرار نگرفت حالا به عنوان یک آسیب‌پذیری جدی از نوع Local Privilege Escalation خود را معرفی کرده است.

به گزارش تسنیم، این آسیب‌پذیری که دارای شماره شناسه CVE-2017-1000253است در آوریل 2015 توسط Michael Davidson از تیم امنیتی گوگل معرفی شده بود.

از زمانی که این آسیب‌پذیری جدی گرفته نشد، از نسخه 3.10.77 هسته لینوکس به بعد نسخه رفع شده این آسیب‌پذیری هم منتشر نشد.

به هر حال، هم‌اکنون محققان Qualys Research Labsموفق به کشف این آسیب‌پذیری شده‌اند و Exploitآن را هم توسعه داده‌اند.

این Exploitکه برای عملیات Local Privilege Escalation آماده شده است بر روی توزیع‌های معروفی همچون RedHat، Debian و CentOSجوابگو است؛ نسخه دقیق توزیع‌های آسیب‌پذیر عبارتند از:

All versions of CentOS 7 before 1708 (released on September 13, 2017)
All versions of Red Hat Enterprise Linux 7 before 7.4 (released on August 1, 2017)
All versions of CentOS 6
Red Hat Enterprise Linux 6

این آسیب‌پذیری که دارای رده‌بندی امتیاز 7.8 از 10 را در CVSS3دریافت کرده است، در بخش ELF executablesهای هسته لینوکس موجود است که منجر به تخریب بخشی از حافظه می‌شود.

محققان موفق شدند کاربری را با دسترسی سطح پایین و SUIDمشخص که توانایی اجرای کدهای باینری PIEدارد را توسط این آسیب‌پذیری به سطحی از دسترسی برسانند که توانایی اعمال تغییرات سطح بالا را بر روی سیستم عامل داشته باشد.

برای جلوگیری از اجرای Exploitاین آسیب‌پذیری، می‌توان مقدار متغیر vm.legacy_va_layout در هسته لینوکس را برابر یک قرار داد تا زمانی که در نسخه بعدی Kernel این آسیب‌پذیری مرتفع شود.

مرکز Qualysاعلام کرده است که این نقص برای PIEهایی که سگمنت read/writeآنها بیشتر از 128 مگابایت است، محدودیتی ندارد که این خود نشاندهنده آن است که کمترین فاصله بین mmap_baseو بالاترین سطح آدرس در stackوجود دارد.

پس اگر بیش از یک و نیم میلیون رشته حرفی را تابع execve()را handleکند، تمامی PIEها در حافظه مججد نوشته می‌شوند که این خود باعث به‌وجود آمدن این آسیب‌پذیری می‌شود.

توزیع‌های لینوکسی RedHat، Debian و CentOSبه روزرسانی‌هایی را برای جلوگیری از نفوذ توسط این آسیب‌پذیری منتشر کرده‌اند.

البته تیم Qualysهم براساس گزارش ماهر قول داده است که PoC Exploitاین آسیب‌پذیری برای توزیع Cetnos7 که دارای هسته به نسخه‌های 3.10.0-514.21.2.el7.x86_64 و همچنین 3.10.0-514.26.1.el7.x86_64 است را به زودی منتشر کند.