Sicherheitslücke in Kernel von Linux-Betriebssystemen

Ein TIPC-Modul in allen gängigen Linux-Distributionen lässt sich durch Heap-Overflow-Angriffe ausnutzen, die zu einer Systemübernahme führen können. Ein Update-Patch steht zur Verfügung.

Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Heap-Overflow-Schwachstelle im TIPC-Modul des Kernels von Linux-Betriebssystemen entdeckt. Die Sicherheitslücke kann entweder lokal oder remote innerhalb eines Netzwerks ausgenutzt werden, um Kernel-Privilegien zu erlangen. Das verwundbare TIPC-Modul ist in allen gängigen Linux-Distributionen enthalten, muss jedoch vom Nutzer geladen werden, um das Protokoll zu aktivieren.

Durch Ausnutzung der Schwachstelle können Angreifer das gesamte System kompromittieren, was zu schwerwiegenden Folgen führen kann. Am 29. Oktober wurde ein Update-Patch veröffentlicht, der das Problem behebt und bei den Kernel-Versionen zwischen 5.10rc-1 und 5.15 zum Einsatz kommt. Bei MITRE wird die Sicherheitslücke unter dem Kürzel CVE-2021-43267 geführt.

Ausnutzung des TIPC-Protokolls

Transparent Inter-Process Communication (TIPC) ist ein Protokoll, das es den Knoten in einem Cluster ermöglicht, effizient zu kommunizieren und dabei fehlertolerant bleibt. Das Protokoll ist in einem Kernelmodul implementiert, das in allen gängigen Linux-Distributionen enthalten ist. Wenn es von einem Benutzer geladen wird, kann es als Socket verwendet und an einer Schnittstelle mit netlink (oder mit dem Userspace-Tool tipc, das diese netlink-Aufrufe ausführt) als unprivilegierter Benutzer konfiguriert werden.

Im September 2020 wurde ein neuer Benutzer-Nachrichtentyp namens MSG_CRYPTO eingeführt, der das Senden und Austauschen von kryptografischen Schlüssel ermöglicht, was den Ursprung der Sicherheitslücke darstellt. Die Möglichkeit der Konfiguration ausgehend aus einer unprivilegierten lokalen Ebene und die Gefahr der Ausnutzung aus der Ferne machen dies zu einer äußerst gefährlichen Schwachstelle für alle, die betroffene Systeme in ihren Netzwerken einsetzen. Besonders besorgniserregend ist, dass ein Angreifer, der diese Schwachstelle ausnutzt, beliebigen Code innerhalb des Kernels ausführen kann, was eine vollständige Kompromittierung des Systems durch Außenstehende zur Folge haben kann.

Disclosure und Gegenmaßnahmen

Am 19. Oktober wurden die Erkenntnisse von SentinelLabs proaktiv gemeldet. Die Sicherheitsforscher haben in Zusammenarbeit mit der Linux Foundation und einem der TIPC-Verantwortlichen einen Patch erstellt, der seit dem 29. Oktober verfügbar ist und seit dem 31. Oktober in aktuellen Linux-Versionen (nach 5.15) bereits vorhanden ist und das Problem behebt.

Da die Sicherheitslücke innerhalb eines Jahres nach ihrer Einführung in die Codebasis entdeckt wurde, sollten TIPC-Benutzer überprüfen, ob ihre Linux-Kernel-Version zwischen 5.10-rc1 und 5.15 liegt und gegebenenfalls ein Update durchführen. Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsfälle des Protokolls durch Cyberkriminelle entdeckt.

Weitere technische Details zur Sicherheitslücke sowie Informationen zur Behebung des Problems finden Sie im vollständigen Bericht von SentinelLabs: https://www.sentinelone.com/labs/tipc-remote-linux-kernel-heap-overflow-allows-arbitrary-code-execution/