稿费:600RMB(不服你也来投稿啊!)
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
360 Marvel Team一直致力于云安全领域技术研究。在刚刚过去的Pwnfest比赛中一举完成vmware workstation的首次破解,实现虚拟机逃逸攻击全球首秀。团队目前在qemu,kvm,xen,docker,vmware workstation,vmware esxi,linux kernel中都已积累了丰富的漏洞挖掘和利用经验。linux kernel漏洞可以帮助攻击者在虚拟机逃逸之后夺取宿主机最高权限,也可以使黑客完成docker容器攻击,是云系统漏洞攻击链条中非常关键的一环。在这篇文章中,Marvel Team将分享一枚最新公开的linux kernel漏洞的相关研究成果。
360 Marvel Team目前正在招聘 漏洞挖掘&漏洞利用&linux内核及应用层开发 岗位,有兴趣的同学欢迎发简历到tangqinghao@360.cn。
0x0 序
TIPC网络协议也叫透明进程间通信协议,是一种进程间通信的网络协议,原本是为集群间通信特别设计,Linux kernel 自2.6.16版本开始支持TIPC协议,该协议在VxWorks和Solaris操作系统中应用广泛。然而TIPC处理数据切包的代码存在一处堆溢出,可造成特权提升。漏洞说明见:https://access.redhat.com/security/cve/cve-2016-8632。
0x1 漏洞细节
当创建一个TIPC协议的socket后,可以通过很多种方式触发tipc_msg_build。比如说用户态调用connet,TIPC协议栈根据当前socket的状态,需要发送第一个SYN包,然而这时需要调用tipc_msg_build来构造TIPC的协议头(长度可变),如下图:
首先解释几个变量含义:
1. msz : TIPC协议头长度 + 实际发送数据长度。
2. pktmax : 实际上是上层函数传递下来的TIPC协议设置的MTU,该值可从设备MTU继承
3. skb : socket buffer数据结构,其中包含一个char *类型的data指针,指向实际缓冲区
4. dsz : 附加数据的长度
5. mhsz : TIPC协议头长度,该协议内容根据用户态传递的目标地址类型不同而不同
从上图可以看出,如果要发送数据长度小于设备允许的最大传输单元,则数据包不需要切包,可以直接发送出去,否则把数据包按pktmax长度切开,然后依次发送出去。
函数根据pktmax创建socket buff,之后进行两次skb_copy_to_linear_data操作。
两次memcpy的长度是INT_H_SIZE + mhsz:
1. INT_H_SIZE长度固定为40字节
2. mhsz根据目标地址类型不同而不同,可取的值是24、32、40、44、60字节
我在POC中设置mhsz为32字节,那么两次memcpy共拷贝72字节。该函数在memcpy前并没有检查pktmax(MTU)是否小于INT_H_SIZE + mhsz, 然而回溯调用堆栈也没有发现内核检查过MTU的值。
那么在内核其它地方创建一个MTU小于72字节,也就能够造成堆溢出。
接下来就需要寻找TIPC是如何设置MTU的,以得到可用最小的MTU值。内核在调用tipc_msg_build 前会根据目的地址类型不同,调用2种不同方法获取MTU值,但是无论哪种方法其实都是取TIPC link上的MTU值:
TIPC link是当整个TIPC网络出现2个以上节点后,内核调用tipc_node_link_up自动建立的
当TIPC link建立后,n->links结构的mtu属性被赋值,然而这里减去了40字节的头大小,然并卵,还是没有检查合法的最小MTU大小。
tipc_link_mtu()的值由tipc_link_set_mtu()设置,tipc_link_set_mtu()在整个4.9-rc4内核代码中只有一处调用,就是在tipc_bcbase_select_primary()。
那么这里可以清晰的看到mtu的值来自于tipc_bearer_mtu(),整个内核只有2处修改过tipc bearer的值,一个是当TIPC网络建立后,内核调用tipc_enable_l2_media()
另一处是当我们在shell中使用类似 `ifconfig eth0 mtu 60 up` 来修改网络设备MTU时,内核调用tipc_l2_device_event():
通常情况下网络设备MTU的值是1500,当然这个值最大最小区间需要根据不同的网卡驱动来决定,比如我的网卡驱动是e1000,支持的mtu最小是46
那么问题来了:
1. 把设备MTU设置成60(大部分网卡驱动最小支持MTU是60)
2. 创建TIPC网络,当TIPC link建立成功后,内核调用tipc_node_link_up()
3. tipc_node_link_up()这时候又把60减了个40,使得n->links[bearer_id].mtu = 20
4. 调用connect,触发tipc_msg_build,因为最小的TIPC协议头也得24,所以需要切包
5. 以20字节申请socket buffer
6. 第一次调用skb_copy_to_linear_data(skb, &pkthdr, INT_H_SIZE), 溢出40 – 20字节
7. 第二次调用skb_copy_to_linear_data_offset(skb, INT_H_SIZE, mhdr, mhsz),再次溢出mhsz字节
第一步修改设备MTU,用户不得具有CAP_NET_ADMIN权限么,然而如果clone出一个具有user_namespace及net_username的进程则可以轻松修改设备MTU
0x2 漏洞影响
大部分网卡驱动最少可以溢出52字节,如果合理布局堆空间,可以造成特权提升。
受影响的较新内核版本:
Linux kernel 4.9-rc4
Linux kernel 4.9-rc3
Linux kernel 4.9
Linux kernel 4.8.3
Linux kernel 4.8.1
Linux kernel 4.8 rc1
Linux kernel 4.8
Linux kernel 4.7.9
Linux kernel 4.7-rc6
Linux kernel 4.7-rc5
+ Redhat Linux 7.2
+ S.u.S.E. Linux 7.2
+ S.u.S.E. Linux 7.1
Linux kernel 4.6.3
Linux kernel 4.6.2
未测试较旧内核版本
0x3 补丁及相关
https://www.mail-archive.com/netdev@vger.kernel.org/msg133205.html
https://access.redhat.com/security/cve/CVE-2016-8632
http://www.securityfocus.com/bid/94211/info
传送门
360 Marvel Team虚拟化漏洞第一弹 – CVE-2015-6815 漏洞分析
360 Marvel Team虚拟化漏洞第二弹 – CVE-2015-5279 漏洞分析
360 Marvel Team虚拟化漏洞第三弹 – CVE-2015-7504 漏洞分析(含高清视频)
发表评论
您还未登录,请先登录。
登录