Linux内核AF_PACKET原生套接字漏洞（CVE-2020-14386）分析

宣布时间 2020-09-22

漏洞配景

近日，Openwall社区上果然了一个Linux内核AF_PACKET原生套接字内存破坏漏洞。凭据细节描述，该漏洞泛起在net/packet/af_packet.c中，由整数溢出导致越界写，可以通过它进行权限提升。该漏洞危害评级为高，编号为CVE-2020-14386。

受影响产物和缓解措施

1、受影响产物

该漏洞影响Linux刊行版高于4.6的内核版本，包罗：

Ubuntu Bionic (18.04) and newer
Debian 9
Debian 10
CentOS 8/RHEL 8

2、缓解措施

（1）修补系统

上游内核补丁如下：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06

（2）关闭CAP_NET_RAW功效

针对RHEL8，具体关闭步骤如下：

# echo"user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf

# sysctl -p/etc/sysctl.d/userns.conf

（3）针对一些受影响的容器产物，同样接纳关闭CAP_NET_RAW功效进行缓解

Kubernetes Pod宁静计谋：配置Pod宁静计谋以删除运行容器中的CAP_NET_RAW功效，参考链接：https://cloud.google.com/kubernetes-engine/docs/security-bulletins。

相关看法

1、AF_PACKET套接字

网络协议栈中，原始套接字是一个特殊的套接字类型，从实现上可以分为两类，一类为链路层原始套接字；另一类为网络层原始套接字。链路层原始套接字可直接用于接收和发送链路层的MAC帧，在发送时需要调用者自行结构和封装MAC首部。链路层原始套接字调用socket()函数创建。第一个参数指定地址簇类型为AF_PACKET，第二个参数套接字类型为SOCK_RAW或SOCK_DGRAM，当类型指定为SOCK_RAW时，套接字接收和发送的数据都是从MAC首部开始的。在发送时需要由调用者从MAC首部开始结构和封装报文数据。

2、PACKET_MMAP

仅依靠AF_PACKET过滤数据包是非常低效的，内核又提供了PACKET_MMAP支持。PACKET_MMAP在内核空间中分配一块环形内核缓冲区，用户空间通过mmap将该内核缓冲区映射出来。收到的数据包拷贝到环形内核缓冲区中，用户层可以直接操作数据，通过内核空间和用户空间共享的缓冲区起到减少数据拷贝的作用，提高处置效率。

PACKET_MMAP实现过程

通过setsockopt()函数设置环形缓冲区，option参数设置为PACKET_RX_RING或PACKET_TX_RING。为了方便内核与用户层管理和交互环形缓冲区中的数据帧，内核界说了TPACKET_HEADER结构体，该结构体存储着一些元信息如套接字地址信息、时间戳以及环形缓冲区管理信息等。如果通过setsockopt()函数设置了PACKET_VNET_HDR选项，还需添加一个virtio_net_hdr结构体。一个数据帧包罗两个部门，第一部门为TPACKET_HEADER，第二部门为Data，而且要保证页面对齐，如下图所示：

目前TPACKET_HEADER存在三个版本，每个版本长度略有差异。对于v1和v2，收发环形缓冲区用tpacket_req结构体管理，该结构体包罗四个数据域：分别为内存块的巨细和数量、每个数据帧的巨细和数据帧总数。如下图所示：

捕捉的frame被划分为多个block，每个block是一块物理上连续的内存区域，有tp_block_size/tp_frame_size个frame，block的总数是tp_block_nr。例如，tp_block_size = 4096，tp_frame_size = 2048，tp_block_nr = 4，tp_frame_nr = 8。得到的缓冲区结构如下图所示：

每个frame必须放在一个block中，每个block生存整数个frame，也就是说一个frame不能跨越两个block。在用户层映射环形缓冲区可以直接使用mmap()函数。虽然环形缓冲区在内核中是由多个block组成的，但是映射后它们在用户空间中是连续的。

漏洞分析

该漏洞具体泛起在tpacket_rcv()函数中，该函数是基于PACKET_MMAP的数据包接收函数。具体功效实现如下代码所示：

行2226到行2228，如果sk_type为SOCK_DGRAM，体现不需要自行结构MAC首部，由内核填充，则macoff即是netoff，巨细为TPACKET_ALIGN(tp_hdr_len)+ 16 + tp_reserve。如果sk_type为SOCK_RAW，则进入行2230，体现需要自行结构MAC首部。行2231到行2233，首先计算netoff，巨细为TPACKET_ALIGN(tp_hdrlen +(maclen < 16 ?16 : maclen)) + tp_reserve。行2234到行2237，如果设置了PACKET_VNET_HDR选项，还需加上一个virtio_net_hdr结构体的巨细，然后设置do_vnet为真。行2238，计算macoff。

由于macoff、netoff以及maclen被界说为unsigned short类型，最大值为0xffff。而tp_reserve被界说为unsigned int类型，最大值为0xffffffff，而且巨细可以通过setsockopt()函数进行设置，如下代码所示：

因此，在计算netoff时，可以通过控制tp_reserve造成整数溢出，进而计算堕落误的macoff。当执行到如下代码时：

行2287，调用virtio_net_hdr_from_skb()函数从sk_buff中拷贝数据，该函数第二个参数为h.raw + macoff – sizeof(struct virtio_net_hdr)，h.raw为tpacket_rcv_uhdr类型的指针，指向环形缓冲区的frame，由于macoff是可控的，可以让maoff小于sizeof(struct virtio_net_hdr)，导致向前越界写，最多可写入sizeof(struct virtio_net_hdr)个字节。凭据提供的PoC，调试代码如下图所示：

rdx中存放着TPACKET_ALIGN(tp_hdrlen+(maclen < 16 ? 16 : maclen))，巨细为0x50。rbp+0x4e4处存放着po->tp_reserve，巨细为0x0000ffb4。相加后，整数上溢后，rdx为0x0004。当执行到越界访问时，具体如下：

R9存放着h.raw指针，rdx存放着macoff，virtio_net_hdr结构体巨细为0xa。如下图所示：

发生内存访问错误，造成系统瓦解。

参考链接：

[1] https://blog.csdn.net/sinat_20184565/article/details/82788387

[2] https://www.openwall.com/lists/oss-security/2020/09/03/3

[3] https://elixir.bootlin.com/linux/v5.6/source/Documentation/networking/packet_mmap.txt

[4] https://sysdig.com/blog/cve-2020-14386-falco/

[5] https://bugzilla.redhat.com/show_bug.cgi?id=1875699#c9

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究