Durante esses dias que se passaram desde o início do mês, várias vulnerabilidades foram divulgadas que afetam o kernel do Linux e que alguns deles permitem que você ignore as restrições de bloqueio.
Entre as várias vulnerabilidades que foram divulgadas, alguns deles são causados pelo acesso a áreas de memória já liberadas e permitir que um usuário local eleve seus privilégios no sistema. Para todos os problemas em consideração, protótipos de exploração de trabalho foram criados e serão lançados uma semana após a divulgação das informações de vulnerabilidade.
Uma das vulnerabilidades que chama a atenção é a (CVE-2022-21505) que poderia facilmente contornar o mecanismo de segurança Lockdown, que limita o acesso root ao kernel e bloqueia os caminhos de desvio do UEFI Secure Boot. Para contornar, propõe-se a utilização do subsistema kernel IMA (Integrity Measurement Architecture), projetado para verificar a integridade dos componentes do sistema operacional utilizando assinaturas digitais e hashes.
O bloqueio restringe o acesso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (estrutura de informações do cartão), alguns ACPI e CPU MSR interfaces, bloqueia chamadas kexec_file e kexec_load, impede o modo de suspensão, restringe o uso de DMA para dispositivos PCI, proíbe a importação de código ACPI de variáveis EFI, impede a violação da porta de E/S, incluindo a alteração do número de interrupção e da porta de E/S para a porta serial .
A essência da vulnerabilidade é que quando use o parâmetro de inicialização “ima_appraise=log”, permite chamar kexec para carregar uma nova cópia do kernel se o modo de inicialização segura não estiver ativo no sistema e o modo de bloqueio for usado separadamente e não permitir que o modo "ima_appraise" seja ativado quando a inicialização segura estiver ativa, mas não permitir que o bloqueio seja usado separadamente da inicialização segura.
Das outras vulnerabilidades divulgadas ao longo destes dias e que se destacam entre outros, são os seguintes:
- CVE-2022-2588: Uma vulnerabilidade na implementação do filtro cls_route causada por um bug em que, ao processar um descritor nulo, o filtro antigo não era removido da tabela de hash até que a memória fosse limpa. A vulnerabilidade foi presente pelo menos desde a versão 2.6.12-rc2 (2.6.12-rc2 é o primeiro lançamento no Git. A maior parte do código que o git marca como adicionado neste lançamento é na verdade "pré-histórico", ou seja, adicionado nos dias do BitKeeper ou anteriores.) O ataque requer direitos CAP_NET_ADMIN, que podem ser obtidos se você tiver acesso para criar namespaces de rede (namespace de rede) ou namespaces de identificador de usuário (namespace de usuário). Como uma correção de segurança, você pode desabilitar o módulo cls_route adicionando a linha 'install cls_route /bin/true' ao modprobe.conf.
- CVE-2022-2586: uma vulnerabilidade no subsistema netfilter no módulo nf_tables que fornece o filtro de pacotes nftables. O problema se deve ao fato de que o objeto nft pode referenciar uma lista definida para outra tabela, o que resulta em uma área de memória liberada sendo acessada após a eliminação da tabela. vulnerabilidade existe desde a versão 3.16-rc1. O ataque requer direitos CAP_NET_ADMIN, que podem ser obtidos se você tiver acesso para criar namespaces de rede (namespace de rede) ou namespaces de identificador de usuário (namespace de usuário).
- CVE-2022-2585: é uma vulnerabilidade no temporizador de CPU POSIX onde, quando chamado de um thread não líder, a estrutura do temporizador permanece na lista apesar de limpar a memória alocada. A vulnerabilidade está presente desde a versão 3.16-rc1.
Cabe mencionar que correções já foram enviadas para as vulnerabilidades descritas de erros aos desenvolvedores do kernel Linux e dos quais algumas correções pertinentes já chegaram na forma de patches.