The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.05.2016 10:33  Уязвимость в rt-ядре RHEL, позволяющая выполнить команду SysRq, отправив пакет ICMP

В ядре kernel-rt c реализацией режима реального времени для Red Hat Enterprise Linux выявлена проблема с безопасностью, позволяющая организовать атаку по выполнению произвольных команд SysRq (например, инициировать перезагрузку) через отправку специально оформленных пакетов ICMP echo. Проблема связана с недоработкой в реализации функции отправки команд SysRq по сети, которая не была принята в состав основного ядра, но вошла в состав пакета kernel-rt с набором патчей PREEMPT_RT. Патч также используется в пакетах с ядром в некоторых других дистрибутивах, например проблема присутствует в ядре из состава Debian (дополнение: несмотря на то, что в трекере Debian все ядра помечены как уязвимые, фактически в ядре из Debian нет следов патча CONFIG_SYSRQ_PING). Обычное (не "-rt") ядро RHEL проблеме не подвержено.

Патч отправки SysRq по сети был создан для реагирования на зависания системы, при которых система никак не реагирует на клавиатурный ввод, но продолжает отвечать на запросы ping. Патч предлагает опцию CONFIG_SYSRQ_PING при активации которой пользователь может добавить в файл /sys/kernel/debug/network_sysrq_magic секретную кодовую последовательность, которая в дальнейшем может использоваться в качестве ключа для удалённого выполнения команд SysRq. Например, команду SysRq можно отправить через "ping -c 1 -p 1623a06f554d46d676d 192.168.1.1", где 1623a06f554d46d67 - ключ, а 6d - код команды sysrq-m.

Реализация имеет две проблемы: Размер ключа составляет не более 30 шестнадцатеричных цифр (на практике может быть указано существенно меньше цифр), что с учётом легковесности пакетов icmp позволяет удалённому злоумышленнику совершить bruteforce-атаку и методом подбора определить нужный ключ. Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: sysrq, kernel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 10:47, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +11 +/
    Лол
     
  • 1.2, DmA (??), 10:49, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    чего только не придумают для создания новых дыр в системе.
     
  • 1.3, MPEG LA (ok), 10:57, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    >не более 30 шестнадцатеричных чисел

    цифр. 1.32*10^36 значений. даже если миллион пакетов в секунду, то это туева хуча лет на брутфорс. а вот третья проблема - этот ICMP перехватывается и повторяется без проблем.

     
     
  • 2.4, Аноним (-), 11:10, 17/05/2016 [^] [ответить]    [к модератору]
  • +/
    На практике цифр 8-10 используют для пароля, 30 - это максимальное значение.
     
     
  • 3.5, MPEG LA (ok), 11:50, 17/05/2016 [^] [ответить]    [к модератору]
  • +10 +/
    думается мне, что людей, которые понимают debugfs, SysRq, ICMP и отправку данных поверх него, при этом не понимая брутфорса, на этой планете довольно мало. Ну по-крайней мере надеюсь на это.
     
     
  • 4.24, Аноним (-), 01:32, 18/05/2016 [^] [ответить]    [к модератору]  
  • +/
    А как проверить, что ключ подошёл? Слать команду "ребут" и детектить момент, когда пинги перестанут идти, что ли?
     
  • 1.8, None (??), 12:22, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Радует то, что самую серьёзную уязвимость - возможность осуществить DoS атаку путём нажатия кнопки reset на системном блоке - многие вендоры уже устранили.
     
  • 1.9, Аноним (-), 12:30, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Я так понял, это для отладки и ковыряния на полигоне. Не для тырнетов же, разве не так?

    Спасибо, не знал о такой полезной функции.

     
  • 1.10, Аноним (-), 12:32, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Главное что это не в основной ветке, а то что делают другие для себя это их проблема
     
  • 1.11, anonymous (??), 12:57, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Пинг смерти 20 лет спустя
     
     
  • 2.21, angra (ok), 21:10, 17/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Ага, для его успешности надо подождать всего лишь жалкие двадцать секстиллионов лет.
     
  • 1.12, Аноним (-), 12:58, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Давайте перезагрузим биржи! И операционные центры Visa и MasterCrad! И ... И... Ну не знаю! Или они все уже обновились?
     
     
  • 2.19, Аноним (-), 18:46, 17/05/2016 [^] [ответить]    [к модератору]  
  • +/
    А вы их айпишники знаете?
     
  • 1.14, EuPhobos (ok), 13:57, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

    Ой ли?..

    $ cd /sys/kernel/debug/
    bash: cd: /sys/kernel/debug/: Отказано в доступе

    drwx------ 21 root root    0 апр 28 13:06 debug

    Не доктор вэб ли опять панику наводит?
    Высосать из пальца проблему.

     
     
  • 2.25, Аноним (-), 10:01, 18/05/2016 [^] [ответить]    [к модератору]  
  • +/
    >Ой ли?..

    У тебя RHEL? Новость вообще то про неё

     
     
  • 3.27, EuPhobos (ok), 11:26, 18/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > У тебя RHEL? Новость вообще то про неё

    Там дебьян приписали..
    Да и для RHEL проблемы как таковой нет, если есть мозги у админа и руки из плеч.

     
  • 1.15, Аноним (-), 14:09, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    что вообще это за хрень? опять проделки пОТТЕРА?
     
     
  • 2.18, Andrey Mitrofanov (?), 15:38, 17/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > что вообще это за хрень? опять проделки пОТТЕРА?

    https://lwn.net/Articles/448790/ Разве что он завёл себе псевдоним.

     
  • 1.16, vitalif (ok), 14:12, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Так это ж прямо escape_me m0r1k'овский!! =)) Ромин то есть, мы с ним в агаве работали))) он так себе комп перезагружал удалённо, когда firefox (2.x какой-то ещё) всю память выжирал...
     
  • 1.17, sasku (ok), 15:21, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Для пользователей локальной системы не составляет труда получить ключ без подбора, файл /sys/kernel/debug/network_sysrq_magic, в котором записан ключ, доступен на чтение всем пользователям системы.

    Debian 8, Debian 9:
    drwx------ 23 root root    0 Mar 10 10:17 debug

     
  • 1.20, Ursadon (ok), 19:08, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Чё панику развели?
    Написано же: не использовать в небезопасном окружении.
    Реализацию сделали, а как закрыться - пусть думает админ.
    Не надо - не используй модуль.

    diff --git a/Documentation/networking/sysrq-ping.txt b/Documentation/networking/sysrq-ping.txt
    ....
    +   Allows execution of sysrq-X commands via ping over ipv4.  This is a
    +   known security hazard and should not be used in unsecure
    +   environments.


    И вообще, патчу 5 лет. С разморозкой, RedHat!

     
  • 1.22, Шарп (ok), 21:28, 17/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Софт должен попадать в репы с минимальными изменениями.
    Вот поэтому арч выгодно отличается от подобных дистрибутивов, в которых пользователя всего обмазывают всякими низкокачественными патчами.
     
     
  • 2.23, anonymous (??), 00:36, 18/05/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Молодец, сили дальше без PREEMPT_RT
     
  • 1.26, qwerty (??), 10:03, 18/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Бред, какой то, какая же это уязвимость то, НОРМАЛЬНЫЙ админ, который устанавливает подобные системы должен изолировать их от инета что бы не мешал, ибо rt-шный системы делают не для инета.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor