W odróżnieniu do Windows ostatnio wiele dzieje się w bezpieczeństwie Linux. Wczoraj badacze cyberbezpieczeństwa z SentinelOne ujawnili lukę w zabezpieczeniach modułu TIPC w jądrze Linux, która potencjalnie może zostać wykorzystana zarówno lokalnie, jak i zdalnie do wykonania dowolnego kodu w jądrze i przejęcia kontroli nad podatnymi na atak systemem. Problem wykryto w net/tipc/crypto.c w jądrze systemu Linux przed wersją 5.14.16. Luka śledzona jest pod numerem CVE-2021-43267 (wynik CVSS: 9,8).
Co to jest TIPC?
TIPC (Transparent Inter Process Communication) to protokół zaprojektowany specjalnie do komunikacji wewnątrz klastra. Można go skonfigurować do przesyłania wiadomości przez UDP lub bezpośrednio przez sieć Ethernet. Dostarczanie wiadomości jest gwarantowane sekwencyjnie, bez strat i kontrolowane przepływem. Czasy opóźnienia są krótsze niż w przypadku jakiegokolwiek innego znanego protokołu, podczas gdy maksymalna przepustowość jest porównywalna z przepustowością TCP.
Podatność w TIPC
Jak wynika z opublikowanego wczoraj raportu SentinelOne luka przepełnienia sterty „może zostać wykorzystana lokalnie lub zdalnie w sieci w celu uzyskania uprawnień jądra i pozwoli atakującemu na złamanie zabezpieczeń całego systemu”. Śledzona jest jako CVE-2021-43267 (wynik CVSS: 9,8).
Luka zidentyfikowana przez SentinelOne ma związek z niewystarczającą walidacją rozmiarów dostarczanych przez użytkowników dla nowego typu wiadomości o nazwie „MSG_CRYPTO”, który został wprowadzony we wrześniu 2020 r. i umożliwia węzłom równorzędnym w klastrze wysyłanie kluczy kryptograficznych.
„Podczas gdy sam TIPC nie jest ładowany automatycznie przez system, ale przez użytkowników końcowych, możliwość konfigurowania go z nieuprzywilejowanej lokalnej perspektywy i możliwość zdalnej eksploatacji sprawiają, że jest to niebezpieczna luka w zabezpieczeniach dla tych, którzy używają go w swoich sieciach” – powiedział Max Van Amerongen, badacz SentinelOne.
Do tej pory nie ma dowodów na to, że luka była wykorzystywana w rzeczywistych atakach, a po odpowiedzialnym ujawnieniu 19 października problem został rozwiązany w wersji 5.15 jądra Linux wydanej 31 października 2021 roku.