0x00 背景介绍
2017年11月24日, OSS社区披露了一个由独立安全研究员Mohamed Ghannam发现的一处存在于Linux 内核Netlink socket子系统(XFRM)的漏洞,漏洞编号CVE-2017-16939。
360CERT经过实际验证,确认该漏洞确实存在,但poc作者认为存在UAF漏洞,存在提权的可能性,而我们认为并没有UAF,只是使用未初始化链表造成的crash(空指针引用),并且使用的内存已经被初始化了,实际上无法提前布局,不能进一步利用达到提权的目的。
0x01 漏洞概述
Netlink 是一种特殊的 socket,它是一种在内核与用户间进行双向数据传输的一种方式,用户态应用使用标准的 socket API 就可以使用 Netlink 提供的强大功能,内核态需要使用专门的内核 API 来使用 Netlink。
XFRM是 Linux 2.6 内核为安全处理引入的一个可扩展功能框架,用来在数据包经过路由路径的过程中对其进行修改。
漏洞原因是:在调用xfrm_dump_policy_done函数之前,如果不事先调用xfrm_dump_policy,会导致链表没有被初始化,造成空指针引用,产生崩溃。官方修正的补丁添加了xfrm_dump_policy_start函数,确保调用done之前会进行初始化。
0x02 漏洞攻击面影响
1. 影响版本
影响Linux Kernel 2.6.28~4.14之间的版本
影响版本链接:
http://www.securityfocus.com/bid/101954
2. 修复版本
漏洞已被作为1137b5e(“ipsec:修复异常xfrm策略转储崩溃”补丁)的一部分解决,在4.14-rc7版本中被修复。
0x03 漏洞详情
1. 技术细节
在函数 static int netlink_dump(struct sock *sk) 中:
(/net/netlink/af_netlink.c)
在上面的代码中,我们可以看到当sk->sk_rcvbuf小于等于sk_rmem_alloc(注意我们可以通过stockpot控制sk->sk_rcvbuf)时,netlink_dump()检查失败,它跳转到函数的结尾并退出,但是cb_running的值不会更改为false。
所以当 atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf 时,不应调用 cb->done(cb),且nlk->cb_running 应设为 false。否则在 static void netlink_sock_destruct(struct sock *sk) 函数中:
该函数会在close(socketfd)时触发。该函数检测到 nlk->cb_running 不为 false,就会调用 done() 函数,即 xfrm_dump_policy_done(),导致 crash。
2. poc的验证分析
原作者 poc 中的执行流程如下:
(1) do_setsockopt() :改小 sk->sk_rcvbuf 值
(2)send_msg(fd,&p->msg):
第一次发送时,atomic_read(&sk->sk_rmem_alloc) = 0 < sk->sk_rcvbuf,发送之后,sk->sk_rmem_alloc 累加,结果在第一次发送后:
atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf(3)send_msg(fd,&p->msg):
第二次发送之后,此时atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf,未调用 done(),但 nlk->cb_running 值保持为 true。
(4)close(fd):调用cb->done(cb),产生崩溃。
按上述原理,其实即使不调用 “do_setsockopt();” 改小 sk->sk_rcvbuf 值,只要多次 send,那么当 sk->sk_rmem_alloc 累加到超过 sk->sk_rcvbuf 值,再次 send 后,“close(fd)”或进程退出时,就会导致 crash。
原 poc 改为如下也可触发(不调用 do_setsockopt()):
3. 漏洞分析总结
crash 原因分析:
原本程序理想流程是 xfrm_dump_policy() -> xfrm_dump_policy_done(), xfrm_dump_policy() 时会检查 callback 中的一个双向链表是否有初始化,若没有,则初始化之(空链)。
而 xfrm_dump_policy_done() 时默认上述链表已初始化,不再检查,直接读写。如前文所述,多次 send 就可以造成:
atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf导致 netlink_dump() 中跳过 xfrm_dump_policy() ,即没有初始化链表,所以 close(fd) 时,xfrm_dump_policy_done() 就会操作未初始化内存,导致 crash。
那么若能提前布局这块内存,则可实现任意地址写值(通过双向链表del操作)。但是,无论是否触发初始化链表的操作,在之前这块内存都会被 memset(0):
在__netlink_dump_start 函数里 memset(0) 后,才调用 netlink_dump。接下来 netlink_dump中做 sk_rmem_alloc >= sk_rcvbuf 的检测,失败后就不去 xfrm_dump_policy 了。到后面 xfrm_dump_policy_done 用到的就是之前 memset(0) 的内存。这样就是缺少了 xfrm_dump_policy 过程中的初始化链表操作(INIT_LIST_HEAD),最终造成空指针引用。
所以这只是使用未初始化链表造成的crash(空指针引用),并且使用的内存已经被初始化了,实际上无法提前布局,不能进一步利用达到提权的目的。
0x04 修复建议
建议所有受影响用户,及时进行安全更新,可选方式如下:
1、相关Linux发行版已经提供了安全更新,请通过 yum 或 apt-get 的形式进行安全更新。
2、自定义内核的用户,请自行下载对应源码补丁进行安全更新。 补丁链接:
https://github.com/torvalds/linux/commit/1137b5e2529a8f5ca8ee709288ecba3e68044df2
0x05 时间线
2017-10-19 git上commit漏洞补丁
2017-11-24 OSS-SEC邮件组公布漏洞信息
2017-11-27 360CERT发布分析预警通告
0x06 参考文档
https://nvd.nist.gov/vuln/detail/CVE-2017-16939
https://blogs.securiteam.com/index.php/archives/3535
https://github.com/torvalds/linux/commit/1137b5e2529a8f5ca8ee709288ecba3e68044df2