东森平台

首页 > 宁静研究 > 研究陈诉 > 宁静漏洞分析

Linux eBPF JIT权限提升漏洞（CVE-2020-27194）分析与验证

宣布时间 2020-11-03

漏洞配景

近日，国外宁静研究人员披露一个Linux eBPF verifier组件错误验证漏洞，此漏洞源于bpf验证系统在Linux内核中没有正确计算某些操作的寄存器界限跟踪，导致当地攻击者可以利用此缺陷进行内核信息泄露或特权提升，该漏洞编号为CVE-2020-27194。

影响范围与防护措施

1、影响范围

Linux-5.7 ~ Linux-5.8.14
Ubuntu 20.10

2、防护措施

及时更新升级内核；
将kernel.unprivileged_bpf_disabled.sysctl设置为1，临时限制普通用户权限。

漏洞原理与调试分析

1、漏洞原理

该漏洞和Pwn2own2020角逐中使用的CVE-2020-8835漏洞原理一致，均是错误计算了寄存器界限跟踪，导致可以绕过验证器检查到达越界读写。缺陷代码泛起在kernel/bpf/verifier.c的scalar32_min_max_or()函数中，该函数是在commit_id：3f50f132d840中引入的，该功效实现了显式的ALU32(32位计算类操作)寄存器界限跟踪，处置OR运算时，调用scalar32_min_max_or()函数进行32位寄存器界限跟踪，该函数实现如下：

行5365和行5366，直接将dst_reg寄存器中的64位无符号值赋值给32位有符号值，这明显是错误的。例如设置dst_reg->umin_value=1，dst_reg->umax_value=0x600000001，当进行如上操作后，dst_reg->s32_min_value为1，但是dst_reg->s32_max_value也将是1，因为0x600000001的高位将被截断，这时dst_reg寄存器的范围从[1,0x600000001]酿成了[1,1]，这会被验证器识别为常数1，进而绕过验证器检查。漏洞补丁中，进行了正确的32位有符号值赋值操作，如下所示：

2、调试分析

首先将寄存器的umin_value设置为0x1，可以通过如下BPF指令实现：

此时，寄存器的状态如下所示：

设置完umin_value后，设置umax_value为0x600000001，可以通过如下BPF指令实现：

断点命中后，调用栈如下所示：

执行完BPF_JMP_REG(BPF_JLT,BPF_REG_6,BPF_REG_5,1)指令后，将R6寄存器范围设置为0x1到0x600000001之间。R6寄存器状态如下所示：

接着，设置R6寄存器中32位的无符号最小值和最大值，

设置完之后，R6寄存器状态如下所示：

红框中设置的值是必须要保证的，需要提前进行设置，方便后面绕过if判断进入缺陷代码块中。接着设置R6寄存器32位有符号最小值和最大值，代码如下所示：

行5355，if语句判断不建立，会走到行5362分支中，调试情况如下所示：

触发漏洞后，R6寄存器状态如下：

此时s32_min_value和s32_max_value都为0x1，在验证器中，R6寄存器的32位有符号取值为常数1。但R6寄存器的取值实际是有范围的。接着将R6寄存器进行32位MOV到R7寄存器中，执行到如下代码所示：

此时，src_reg寄存器如下所示：

执行MOV操作之前，R7寄存器状态如下所示：

执行MOV操作后，R7寄存器状态如下所示：

R7寄存器为常量1，实际运行情况下是有范围的，可以设置为2。执行BPF_ALU64_IMM(BPF_RSH,BPF_REG_7,1)后，即R7 >>= 1，R7寄存器如下所示：

此时umin_value和umax_value为0，即为R7寄存器进行右移操作后，在验证器中被识别为常数0，此时R7寄存器进行加减运算都不会发生越界，绕过了验证器的界限检查。但是如果R7寄存器实际设置为2，2>>1为1，R7寄存器为1，此时和R7寄存器进行加减运算，到达越界读写。

漏洞复现

在Linux-5.7.7版本中进行漏洞利用，乐成提权。

参考链接：

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27194

[2] https://github.com/torvalds/linux/commit/5b9fbeb75b6a98955f628e205ac26689bcb1383e

[3] https://github.com/torvalds/linux/commit/3f50f132d8400e129fc9eb68b5020167ef80a244

[4] https://scannell.me/fuzzing-for-ebpf-jit-bugs-in-the-linux-kernel/

东森平台积极防御实验室（ADLab）

ADLab建立于1999年，是中国宁静行业最早建立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”看法首推者。截止目前，ADLab已通过CVE累计宣布宁静漏洞近1100个，通过 CNVD/CNNVD累计宣布宁静漏洞900余个，连续保持国际网络宁静领域一流水准。实验室研究偏向涵盖操作系统与应用系统宁静研究、移动智能终端宁静研究、物联网智能设备宁静研究、Web宁静研究、工控系统宁静研究、云宁静研究。研究结果应用于产物核心技术研究、国家重点科技项目攻关、专业宁静服务等。

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号