GA黄金甲

首页 > 安全钻研 > 钻研汇报 > 安全缝隙分析

Linux eBPF JIT权限提升缝隙（CVE-2020-27194）分析与验证

颁布功夫 2020-11-03

缝隙布景

近日，国表安全钻研人员披露一个Linux eBPF verifier组件谬误验证缝隙，此缝隙源于bpf验证系统在Linux内核中没有正确推算某些操作的寄放器天堑跟踪，导致本地攻击者能够利用此缺点进行内核信息泄露或特权提升，该缝隙编号为CVE-2020-27194。

影响领域与防护措施

1、影响领域

Linux-5.7 ~ Linux-5.8.14
Ubuntu 20.10

2、防护措施

实时更新升级内核；
将kernel.unprivileged_bpf_disabled.sysctl设置为1，一时限度通常用户权限。

缝隙道理与调试分析

1、缝隙道理

该缝隙和Pwn2own2020角逐中使用的CVE-2020-8835缝隙道理一致，均是谬误推算了寄放器天堑跟踪，导致能够绕过验证器查抄达到越界读写。缺点代码呈此刻kernel/bpf/verifier.c的scalar32_min_max_or()函数中，该函数是在commit_id：3f50f132d840中引入的，该职能实现了显式的ALU32(32位推算类操作)寄放器天堑跟踪，处置OR运算时，挪用scalar32_min_max_or()函数进行32位寄放器天堑跟踪，该函数实现如下：

640?wx_fmt=png

行5365和行5366，直接将dst_reg寄放器中的64位无符号值赋值给32位有符号值，这显著是谬误的。例如设置dst_reg->umin_value=1，dst_reg->umax_value=0x600000001，当进行如上操作后，dst_reg->s32_min_value为1，但是dst_reg->s32_max_value也将是1，由于0x600000001的高位将被截断，这时dst_reg寄放器的领域从[1,0x600000001]造成了[1,1]，这会被验证器鉴别为常数1，进而绕过验证器查抄。缝隙补丁中，进行了正确的32位有符号值赋值操作，如下所示：

640?wx_fmt=png

2、调试分析

首先将寄放器的umin_value设置为0x1，能够通过如下BPF指令实现：

640?wx_fmt=png

此时，寄放器的状态如下所示：

640?wx_fmt=png

设置完umin_value后，设置umax_value为0x600000001，能够通过如下BPF指令实现：

640?wx_fmt=png

断点射中后，挪用栈如下所示：

640?wx_fmt=png

执行完BPF_JMP_REG(BPF_JLT,BPF_REG_6,BPF_REG_5,1)指令后，将R6寄放器领域设置为0x1到0x600000001之间。R6寄放器状态如下所示：

640?wx_fmt=png

接着，设置R6寄放器中32位的无符号最幼值和最大值，

640?wx_fmt=png

设置完之后，R6寄放器状态如下所示：

640?wx_fmt=png

红框中设置的值是必必要保障的，必要提前进行设置，方便后面绕过if判断进入缺点代码块中。接着设置R6寄放器32位有符号最幼值和最大值，代码如下所示：

640?wx_fmt=png

行5355，if语句判断不成立，会走到行5362分支中，调试情况如下所示：

640?wx_fmt=png

触发缝隙后，R6寄放器状态如下：

640?wx_fmt=png

此时s32_min_value和s32_max_value都为0x1，在验证器中，R6寄放器的32位有符号取值为常数1。但R6寄放器的取值现实是有领域的。接着将R6寄放器进行32位MOV到R7寄放器中，执行到如下代码所示：

640?wx_fmt=png

此时，src_reg寄放器如下所示：

640?wx_fmt=png

执行MOV操作之前，R7寄放器状态如下所示：

640?wx_fmt=png

执行MOV操作后，R7寄放器状态如下所示：

640?wx_fmt=png

R7寄放器为常量1，现实运行情况下是有领域的，能够设置为2。执行BPF_ALU64_IMM(BPF_RSH,BPF_REG_7,1)后，即R7 >>= 1，R7寄放器如下所示：

640?wx_fmt=png

此时umin_value和umax_value为0，即为R7寄放器进行右移操作后，在验证器中被鉴别为常数0，此时R7寄放器进行加减运算都不会产生越界，绕过了验证器的天堑查抄。但是若是R7寄放器现实设置为2，2>>1为1，R7寄放器为1，此时和R7寄放器进行加减运算，达到越界读写。

缝隙复现

在Linux-5.7.7版本中进行缝隙利用，成功提权。

640?wx_fmt=png

参考链接：

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27194

[2] https://github.com/torvalds/linux/commit/5b9fbeb75b6a98955f628e205ac26689bcb1383e

[3] https://github.com/torvalds/linux/commit/3f50f132d8400e129fc9eb68b5020167ef80a244

[4] https://scannell.me/fuzzing-for-ebpf-jit-bugs-in-the-linux-kernel/

GA黄金甲积极防御尝试室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术钻研尝试室之一，微软MAPP打算主题成员，“黑雀攻击”概想首推者。截止目前，ADLab已通过CVE累计颁布安全缝隙近1100个，通过 CNVD/CNNVD累计颁布安全缝隙900余个，持续维持国际网络安全领域一流水准。尝试室钻研方向涵盖操作系统与利用系统安全钻延注移动智能终端安全钻延注物联网智能设备安全钻延注Web安全钻延注工控系统安全钻延注云安全钻研。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】