内核恐慌(有时缩写为KP )是操作系统内核在检测到无法安全恢复或继续运行系统的内部致命错误时采取的一种安全措施重大数据丢失。该术语主要针对Unix和类 Unix系统。对于Microsoft Windows操作系统,等效术语是“停止错误”,导致错误检查屏幕在 Windows 中以蓝色背景显示错误检查代码(俗称“蓝屏死机”"或 BSoD),或在 Xbox One 平台和某些Windows Insider 版本上的绿色背景上。
处理恐慌的内核例程,panic()在AT&T派生的和BSD Unix 源代码中称为,通常设计为向控制台输出错误消息,将内核内存映像转储到磁盘以进行事后调试,然后等待系统手动重启,或启动自动重启。所提供的信息具有高度技术性,旨在帮助系统管理员或软件开发人员在诊断问题时。内核恐慌也可能由源自内核空间之外的错误引起。例如,如果在用户空间中运行的init进程终止,许多 Unix 操作系统会出现恐慌。
Netfilter"支持数据包过滤,网络地址[和端口]转换(NA[P]T),数据包日志记录,用户空间数据包队列和其他数据包残排。您可能以前在不知情的情况下与 netfilter 进行过交互!曾经用于阻止服务器上的入站流量,或将 Linux 机箱配置为具有 NAT 的路由器?所有这些数据包处理都是通过 netfilter 在内核中完成的。
![Netfilter 防火墙模块中的新 Linux 漏洞让攻击者获得 Root 访问权限]( "Netfilter 防火墙模块中的新 Linux 漏洞让攻击者获得 Root 访问权限")
本地攻击者可以利用 Linux 内核中新披露的安全漏洞在易受攻击的系统上获得提升的权限,以执行任意代码、转义容器或引发内核恐慌。
该漏洞跟踪为CVE-2022-25636(CVSS 评分:7.8),影响 Linux 内核版本 5.4 至 5.6.10,是内核中 netfilter 子组件中堆越界写入的结果。这个问题是由 Sophos 的高级威胁研究员 Nick Gregory发现的。Red Hat在 2022 年 2 月 22 日发布的公告中表示: “此漏洞允许在系统上拥有用户帐户的本地攻击者访问越界内存,从而导致系统崩溃或权限提升威胁。” Debian、Oracle Linux、SUSE和Ubuntu也发布了类似的警报。
Netfilter 是 Linux 内核提供的一个框架,支持各种与网络相关的操作,包括包过滤、网络地址转换和端口转换。具体来说,CVE-2022-25636 与框架硬件卸载功能处理不当有关的问题可能被本地攻击者武器化,从而导致拒绝服务 (DoS) 或可能执行任意代码。
Nick Gregory认为这是一个非常有趣的漏洞,可以发现和处理。从开始到结束,花了不到一周的时间才找到,对错误进行分类,弄清楚如何击中它,并建立漏洞利用。虽然不是很新颖,但得到的OOB编写原始版本也非常有趣,并且正如大家所看到的,这是一个非常干净的漏洞利用。
原文始发于微信公众号(河南等级保护测评):Netfilter 防火墙模块中的新 Linux 漏洞让攻击者获得 Root 访问权限
评论