Linux Netfilter本地權(quán)限提升漏洞預(yù)警（CVE-2021-22555）

2021-07-16

一、概要

近日，華為云關(guān)注到國(guó)外有安全研究人員披露Linux Netfilter提權(quán)漏洞(CVE-2021-22555)的分析報(bào)告。由于Linux Netfilter模塊中memcpy()、memset()函數(shù)在使用過(guò)程中存在缺陷，導(dǎo)致攻擊者可以利用漏洞實(shí)現(xiàn)權(quán)限提升，如果在容器場(chǎng)景下，可以從docker、k8s容器中實(shí)施容器逃逸（目前poc已公開(kāi)）。

Linux Netfilter是一個(gè)對(duì)數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和基于協(xié)議類型連接的管理框架。華為云提醒使用Linux Netfilter的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://google.github.io/security-research/pocs/linux/cve-2021-22555/writeup.html#achieving-use-after-free

https://github.com/google/security-research/security/advisories/GHSA-xxx5-8mvq-3528

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Linux Kernel版本 >=2.6.19 (9fa492cdc160cd27ce1046cb36f47d3b2b1efa21)

安全版本：

Linux Kernel 版本 5.12 (b29c457a6511435960115c0f548c4360d5f4801d), 5.10.31, 5.4.113, 4.19.188, 4.14.231, 4.9.267, 4.4.267

四、漏洞處置

非容器場(chǎng)景（風(fēng)險(xiǎn)：本地權(quán)限提升）：

1.目前Kernel官方已提供安全版本修復(fù)了該漏洞，請(qǐng)受影響的用戶及時(shí)升級(jí)至安全版本：https://www.kernel.org/

2.根據(jù)RedHat官方的建議，實(shí)施以下操作通過(guò)禁用非特權(quán)用戶執(zhí)行CLONE_NEWUSER、CLONE_NEWNET來(lái)進(jìn)行緩解

echo 0 > /proc/sys/user/max_user_namespaces

容器場(chǎng)景（風(fēng)險(xiǎn)：容器逃逸）

1.升級(jí)至安全的內(nèi)核版本

2.執(zhí)行echo 0 > /proc/sys/user/max_user_namespaces 進(jìn)行緩解

3.開(kāi)啟容器的seccomp功能來(lái)規(guī)避容器逃逸風(fēng)險(xiǎn)（請(qǐng)用戶在開(kāi)啟前評(píng)估可能對(duì)性能和業(yè)務(wù)帶來(lái)的影響）

各大Linux廠商的修復(fù)版本，具體請(qǐng)關(guān)注各廠商安全公告

RedHat：https://access.redhat.com/security/cve/CVE-2021-22555

Debian：https://security-tracker.debian.org/tracker/CVE-2021-22555

Ubuntu：https://ubuntu.com/security/CVE-2021-22555

SUSE：https://www.suse.com/security/cve/CVE-2021-22555/

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。