Linux の Netfilter における脆弱性 CVE-2022-25636:DDoS などが生じる可能性

New Linux Bug in Netfilter Firewall Module Lets Attackers Gain Root Access

2022/03/14 TheHackerNews — 新たに公開された Linux カーネルに存在するセキュリティ欠陥は、脆弱なシステム上でローカルな敵対者が特権昇格を獲得し、任意のコード実行/コンテナ・エスケープ/カーネル・パニックを誘発する可能性があることを示唆されている。この脆弱性 CVE-2022-25636 (CVSS:7.8) は、Linux カーネルの Ver 5.4〜5.6.10 に影響し、カーネルの Netfilter サブ・コンポーネントにおけるヒープ境界外書き込みを発生させる。この問題は、Sophos の Senior Threat Researcher である Nick Gregory により発見された。

2022年2月22日に Red Hat はアドバイザリで、「この欠陥により、システムのユーザー・アカウントを持つローカル攻撃者が境界外メモリにアクセスし、システム・クラッシュや権限昇格の脅威を引き起こす」と述べている。同様の警告は、Debian/Oracle Linux/SUSE/Ubuntu からも発表されている。

Netfilter は、Linux カーネルが提供するフレームワークであり、パケット・フィルタリング/ネットワーク・アドレス変換/ポート変換などの、ネットワークに関連する各種の操作を可能にするものだ。

脆弱性 CVE-2022-25636 は、このフレームワークのハードウェア・オフロード機能の不正な処理に関する問題であり、それを悪用するローカル攻撃者により、サービス拒否 (DoS) や任意のコード実行が引き起こされる可能性がある。

Gregory は、「ハードウェア・オフロードを扱うコード内にあるにもかかわらず、ルール作成に失敗する前にバグがトリガーされるため、オフロード機能を持たないネットワークデバイス (例:lo) を標的とした攻撃が成功する可能性がある。さらに、nftables は CAP_NET_ADMIN を必要とするが、新しいネットワーク名前空間を非共有にして、それを (通常) 非特権ユーザーとして取得できる。つまり、境界外に書き込まれる値の1つが、都合よくnet_device 構造体へのポインタであるため、それほどの難しさはなく、カーネル [return-oriented programming]/local privilege escalation に変えることが可能となる」と述べている。

この脆弱性 CVE-2022-25636 ですが、お隣のキュレーション・チームに確認したところ、3月4日に Linux Kernel としての報告があり、3月16日前後に Debian や Ubuntu といったディストリビューターが対応しているようです。文中にある、「境界外に書き込まれる値の1つが、都合よくnet_device 構造体へのポインタである」という部分ですが、境界外書き込みとポインタの組み合わせって怖いなぁと思ってしまいますね。

%d bloggers like this: