怎么進(jìn)行Linux內(nèi)核XFRM權(quán)限提升漏洞的分析

怎么進(jìn)行Linux內(nèi)核XFRM權(quán)限提升漏洞的分析，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

為楊浦等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)，及楊浦網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為做網(wǎng)站、網(wǎng)站建設(shè)、楊浦網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

0x00 背景介紹

---

2017年11月24日, OSS社區(qū)披露了一個(gè)由獨(dú)立安全研究員Mohamed Ghannam發(fā)現(xiàn)的一處存在于Linux 內(nèi)核Netlink socket子系統(tǒng)(XFRM)的漏洞，漏洞編號(hào)CVE-2017-16939。

360CERT經(jīng)過實(shí)際驗(yàn)證，確認(rèn)該漏洞確實(shí)存在，但poc作者認(rèn)為存在UAF漏洞，存在提權(quán)的可能性，而我們認(rèn)為并沒有UAF，只是使用未初始化鏈表造成的crash（空指針引用），并且使用的內(nèi)存已經(jīng)被初始化了，實(shí)際上無法提前布局，不能進(jìn)一步利用達(dá)到提權(quán)的目的。

0x01漏洞概述

---

Netlink 是一種特殊的 socket，它是一種在內(nèi)核與用戶間進(jìn)行雙向數(shù)據(jù)傳輸?shù)囊环N方式，用戶態(tài)應(yīng)用使用標(biāo)準(zhǔn)的 socket API 就可以使用 Netlink 提供的強(qiáng)大功能，內(nèi)核態(tài)需要使用專門的內(nèi)核 API 來使用 Netlink。

XFRM是 Linux 2.6 內(nèi)核為安全處理引入的一個(gè)可擴(kuò)展功能框架，用來在數(shù)據(jù)包經(jīng)過路由路徑的過程中對(duì)其進(jìn)行修改。

漏洞原因是：在調(diào)用xfrm_dump_policy_done函數(shù)之前，如果不事先調(diào)用xfrm_dump_policy，會(huì)導(dǎo)致鏈表沒有被初始化，造成空指針引用，產(chǎn)生崩潰。官方修正的補(bǔ)丁添加了xfrm_dump_policy_start函數(shù)，確保調(diào)用done之前會(huì)進(jìn)行初始化。

0x02漏洞攻擊面影響

---

1.  影響版本

影響Linux Kernel 2.6.28~4.14之間的版本

影響版本鏈接：

http://www.securityfocus.com/bid/101954

2.   修復(fù)版本

漏洞已被作為1137b5e（“ipsec：修復(fù)異常xfrm策略轉(zhuǎn)儲(chǔ)崩潰”補(bǔ)丁）的一部分解決，在4.14-rc7版本中被修復(fù)。

0x03漏洞詳情

---

1.  技術(shù)細(xì)節(jié)

在函數(shù) static int netlink_dump(struct sock*sk) 中：

(/net/netlink/af_netlink.c)

在上面的代碼中，我們可以看到當(dāng)sk->sk_rcvbuf小于等于sk_rmem_alloc（注意我們可以通過stockpot控制sk->sk_rcvbuf）時(shí)，netlink_dump（）檢查失敗，它跳轉(zhuǎn)到函數(shù)的結(jié)尾并退出，但是cb_running的值不會(huì)更改為false。

所以當(dāng)atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf 時(shí)，不應(yīng)調(diào)用 cb->done(cb)，且nlk->cb_running 應(yīng)設(shè)為 false。否則在 static voidnetlink_sock_destruct(struct sock *sk) 函數(shù)中： 

該函數(shù)會(huì)在close(socketfd)時(shí)觸發(fā)。該函數(shù)檢測(cè)到 nlk->cb_running 不為 false，就會(huì)調(diào)用 done() 函數(shù)，即 xfrm_dump_policy_done()，導(dǎo)致 crash。

2.  poc的驗(yàn)證分析

原作者 poc 中的執(zhí)行流程如下：

（1）do_setsockopt() ：改小 sk->sk_rcvbuf 值

（2）send_msg(fd,&p->msg)：

第一次發(fā)送時(shí)，atomic_read(&sk->sk_rmem_alloc) = 0 < sk->sk_rcvbuf，發(fā)送之后，sk->sk_rmem_alloc 累加，結(jié)果在第一次發(fā)送后：

atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf

（3）send_msg(fd,&p->msg)：

第二次發(fā)送之后，此時(shí)atomic_read(&sk->sk_rmem_alloc)>= sk->sk_rcvbuf，未調(diào)用 done()，但 nlk->cb_running 值保持為 true。

（4）close(fd)：調(diào)用cb->done(cb)，產(chǎn)生崩潰。

按上述原理，其實(shí)即使不調(diào)用 “do_setsockopt();”改小 sk->sk_rcvbuf 值，只要多次 send，那么當(dāng) sk->sk_rmem_alloc 累加到超過 sk->sk_rcvbuf值，再次 send 后，“close(fd)”或進(jìn)程退出時(shí)，就會(huì)導(dǎo)致 crash。

原 poc 改為如下也可觸發(fā)（不調(diào)用do_setsockopt()）：

3.  漏洞分析總結(jié)

crash 原因分析：

原本程序理想流程是 xfrm_dump_policy() ->xfrm_dump_policy_done()，

xfrm_dump_policy() 時(shí)會(huì)檢查 callback 中的一個(gè)雙向鏈表是否有初始化，若沒有，則初始化之（空鏈）。

而 xfrm_dump_policy_done()時(shí)默認(rèn)上述鏈表已初始化，不再檢查，直接讀寫。如前文所述，多次 send 就可以造成：

atomic_read(&sk->sk_rmem_alloc)>= sk->sk_rcvbuf

導(dǎo)致 netlink_dump() 中跳過 xfrm_dump_policy() ，即沒有初始化鏈表，所以 close(fd) 時(shí)，xfrm_dump_policy_done() 就會(huì)操作未初始化內(nèi)存，導(dǎo)致 crash。

那么若能提前布局這塊內(nèi)存，則可實(shí)現(xiàn)任意地址寫值（通過雙向鏈表del操作）。但是，無論是否觸發(fā)初始化鏈表的操作，在之前這塊內(nèi)存都會(huì)被memset(0)：

在__netlink_dump_start函數(shù)里 memset(0) 后，才調(diào)用netlink_dump。接下來 netlink_dump中做sk_rmem_alloc >= sk_rcvbuf 的檢測(cè)，失敗后就不去xfrm_dump_policy 了。到后面 xfrm_dump_policy_done 用到的就是之前 memset(0) 的內(nèi)存。這樣就是缺少了 xfrm_dump_policy 過程中的初始化鏈表操作（INIT_LIST_HEAD），最終造成空指針引用。

所以這只是使用未初始化鏈表造成的crash（空指針引用），并且使用的內(nèi)存已經(jīng)被初始化了，實(shí)際上無法提前布局，不能進(jìn)一步利用達(dá)到提權(quán)的目的。

0x04 修復(fù)建議

---

建議所有受影響用戶，及時(shí)進(jìn)行安全更新，可選方式如下：

1、相關(guān)Linux發(fā)行版已經(jīng)提供了安全更新，請(qǐng)通過 yum 或 apt-get 的形式進(jìn)行安全更新。

2、自定義內(nèi)核的用戶，請(qǐng)自行下載對(duì)應(yīng)源碼補(bǔ)丁進(jìn)行安全更新。

補(bǔ)丁鏈接：

https://github.com/torvalds/linux/commit/1137b5e2529a8f5ca8ee709288ecba3e68044df2

看完上述內(nèi)容，你們掌握怎么進(jìn)行Linux內(nèi)核XFRM權(quán)限提升漏洞的分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

分享題目：怎么進(jìn)行Linux內(nèi)核XFRM權(quán)限提升漏洞的分析
文章網(wǎng)址：http://bm7419.com/article26/igsjjg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動(dòng)網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站、網(wǎng)站策劃、網(wǎng)站維護(hù)、電子商務(wù)、搜索引擎優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)