Sicherheitslücke im Linux-Kernel

Hinter fast allen Linux-Firewall-Tools wie iptables, seiner neueren Version nftables, firewalld und ufw steht netfilter, das den Zugang zum und vom Linux-Netzwerkstack kontrolliert. Es ist ein wesentliches Linux-Sicherheitsprogramm, daher ist es eine große Sache, wenn eine Sicherheitslücke darin gefunden wird.

Nick Gregory, ein Bedrohungsforscher  von Sophos, fand die Lücke CVE-2022-25636 kürzlich bei der Überprüfung von Netfilter auf mögliche Sicherheitsprobleme. Dies ist ein ernster Fehler. Genauer gesagt handelt es sich um ein Heap-out-of-bounds-Schreibproblem mit dem Netzfilter des Kernels. Nick Gregory sagte, dass es „ausnutzbar ist, um Kernel-Code auszuführen (über ROP [Return-Oriented Programming]), was eine vollständige lokale Privilegienerweiterung, Container-Escape oder was auch immer ermöglicht.“

Dieses Problem besteht, weil Netfilter seine Hardware-Offload-Funktion nicht korrekt handhabt. Ein lokaler, unprivilegierter Angreifer kann dies nutzen, um einen Denial-of-Service (DoS) zu verursachen, beliebigen Code auszuführen und allgemeines Chaos anzurichten. Und was noch schlimmer ist: Dies funktioniert sogar, wenn die angegriffene Hardware keine Offload-Funktionalität hat! Das liegt daran, wie Gregory in einer Sicherheitsliste schrieb: „Obwohl es sich um einen Code handelt, der sich mit Hardware-Offload befasst, ist dieser Fehler auch dann erreichbar, wenn Netzwerkgeräte angegriffen werden, die keine Offload-Funktionalität haben (z. B. lo), da der Fehler ausgelöst wird, bevor die Regelerstellung fehlschlägt.“

Diese Sicherheitslücke ist in den Linux-Kernel-Versionen 5.4 bis 5.6.10 vorhanden. Sie ist als Common Vulnerabilities and Exposures (CVE-2022-25636) aufgelistet, und mit einem CVSS-Score (Common Vulnerability Scoring System) von 7,8 ist dies ein echtes Problem.

In seinem Advisory schreibt Red Hat: „Dieser Fehler ermöglicht es einem lokalen Angreifer mit einem Benutzerkonto auf dem System, Zugriff auf Speicher außerhalb des zulässigen Bereichs zu erlangen, was zu einem Systemabsturz oder einer Bedrohung durch eine Privilegienerweiterung führen kann.“

Schlimmer noch, es betrifft die neuesten Versionen großer Distributionen wie Red Hat Enterprise Linux (RHEL) 8.x, Debian Bullseye, Ubuntu Linux und SUSE Linux Enterprise 15.3. Der Linux-Kernel-Netfilter-Patch wurde zwar erstellt, ist aber noch nicht in allen Distributionsversionen verfügbar.

Wenn Sie noch keinen Patch haben, können Sie das Problem in der RHEL-Familie mit den folgenden Befehlen entschärfen:

# echo 0 > /proc/sys/user/max_user_namespaces

# sudo sysctl –system

Und in der Debian/Ubuntu-Familie mit dem Befehl:

$ sudo sysctl kernel.unprivileged_userns_clone=0

Wenn Sie nicht wollen, dass Ihnen Ihre Linux-Server unter den Füßen weggeklaut oder einfach vom Netz genommen werden, ist es an der Zeit, Ihr System entweder zu patchen oder es zu sperren, um Ärger zu vermeiden.