Linux-Kernel-Fehler öffnet Tür für weitere Cyberattacken

Cyber Security News

Der Fehler, der Informationen preisgibt, ermöglicht die Umgehung von KASLR und die Entdeckung weiterer, ungepatchter Schwachstellen in ARM-Geräten.

Im Linux-Kernel wurde eine Information-Disclosure-Sicherheitslücke entdeckt, die ausgenutzt werden kann, um Informationen im Kernel-Stack-Speicher von anfälligen Geräten offenzulegen.

Konkret besteht der Fehler (CVE-2020-28588) in der /proc/pid/syscall-Funktionalität von 32-Bit-ARM-Geräten, auf denen Linux läuft, so Cisco Talos, das die Schwachstelle entdeckt hat. Sie entsteht durch eine unsachgemäße Konvertierung von numerischen Werten beim Lesen der Datei.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/21082808/PromoPic2-300x138.png]

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten des schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

Mit wenigen Befehlen können Angreifer 24 Byte nicht initialisierten Stack-Speicher ausgeben, der zur Umgehung der Kernel Address Space Layout Randomization (KASLR) verwendet werden kann. KASLR ist eine Anti-Exploit-Technik, die verschiedene Objekte nach dem Zufallsprinzip platziert, um vorhersehbare Muster zu verhindern, die von Angreifern erraten werden können.

Angriffe wären auch “unmöglich, in einem Netzwerk aus der Ferne zu erkennen”, erklärte das Unternehmen. Und, “wenn es richtig eingesetzt wird, könnte ein Angreifer dieses Informationsleck nutzen, um erfolgreich weitere ungepatchte Linux-Schwachstellen auszunutzen.”

Details zum Kernel-Bug

Proc ist ein spezielles Pseudo-Dateisystem in Unix-ähnlichen Betriebssystemen, das für den dynamischen Zugriff auf die im Kernel gehaltenen Prozessdaten verwendet wird. Es stellt Informationen über Prozesse und andere Systeminformationen in einer hierarchischen, dateiähnlichen Struktur dar. Es enthält zum Beispiel /proc/[pid] Unterverzeichnisse, von denen jedes Dateien und Unterverzeichnisse enthält, die Informationen über bestimmte Prozesse bereitstellen, die über die entsprechende Prozess-ID gelesen werden können. Im Fall der Datei “syscall” handelt es sich um eine legitime Linux-Betriebssystemdatei, die Protokolle der vom Kernel verwendeten Systemaufrufe enthält.

Ein Angreifer könnte die Sicherheitslücke ausnutzen, indem er /proc/<pid>/syscall liest. “Wir können die Ausgabe auf jedem beliebigen Linux-System sehen, dessen Kernel mit CONFIG_HAVE_ARCH_TRACEHOOK konfiguriert wurde”, heißt es im Fehlerbericht von Cisco, der am Dienstag öffentlich gemacht wurde.

“Diese Datei legt die Systemaufrufnummer und die Argumentregister für den Systemaufruf offen, der gerade vom Prozess ausgeführt wird, gefolgt von den Werten der Stack-Pointer- und Programmzähler-Register”, erklärte die Firma. “Die Werte aller sechs Argumentregister werden offengelegt, obwohl die meisten Systemaufrufe weniger Register verwenden.”

Die Shell-Befehle, die die Sicherheitslücke auslösen, sind: # echo 0 > /proc/sys/kernel/randomize_va_space (# nur für eine sauberere Ausgabe benötigt) $ while true; do cat /proc/self/syscall; done | uniq (# wartet auf Änderungen) $ while true; do free &>/dev/null; done (# triggert Änderungen)

Sicherheits-Patch-Updates verfügbar

Die Forscher von Cisco Talos entdeckten das Problem zuerst auf einem Azure Sphere-Gerät (Version 20.10), einem 32-Bit-ARM-Gerät, auf dem ein gepatchter Linux-Kernel läuft. Es ist seit v5.1-rc4 des Kernels vorhanden.

“Benutzern wird empfohlen, diese betroffenen Produkte so bald wie möglich zu aktualisieren: Linux-Kernel-Versionen 5.10-rc4, 5.4.66 und 5.9.8”, heißt es in dem Advisory. “Talos hat getestet und bestätigt, dass diese Versionen des Linux-Kernels durch diese Schwachstelle ausgenutzt werden können.”

Linux-Kernel-Bugs sind selten, kommen aber vor. So warnten Google und Intel im vergangenen Oktober vor dem hochgradig gefährlichen “BleedingTooth”-Fehler in BlueZ, dem Linux-Bluetooth-Protokollstapel, der Linux-basierten Internet-of-Things-Geräten (IoT) Unterstützung für die wichtigsten Bluetooth-Schichten und -Protokolle bietet. Die Schwachstelle könnte in einem “Zero-Click”-Angriff ausgenutzt werden und möglicherweise erweiterte Rechte auf betroffenen Geräten ermöglichen.

Nehmen Sie an der Threatpost-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – ein LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com