Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong hệ thống con Netfilter của nhân Linux, cho phép kẻ tấn công cục bộ leo thang đặc quyền thông qua điều kiện ghi ngoài giới hạn (out-of-bounds write). Lỗ hổng này, định danh là CVE-2024-53141, ảnh hưởng đến chức năng bitmap của ipset và có thể cho phép người dùng không có đặc quyền giành quyền truy cập root trên các hệ thống bị ảnh hưởng.

Tổng quan về CVE-2024-53141 và Ảnh hưởng

CVE-2024-53141 là một lỗ hổng leo thang đặc quyền cục bộ (LPE) có mức độ nghiêm trọng cao, được đánh giá CVSS v3.1 Base Score 7.8 (High). Lỗ hổng này tiềm ẩn rủi ro đáng kể cho các hệ thống dựa trên Linux, đặc biệt là những hệ thống đóng vai trò quan trọng như thiết bị bảo mật mạng, tường lửa và nền tảng điều phối container vốn phụ thuộc nhiều vào chức năng Netfilter.

Thành công trong việc khai thác lỗ hổng này có thể cho phép kẻ tấn công vượt qua các kiểm soát bảo mật, giành quyền truy cập quản trị trái phép và tiềm ẩn khả năng xâm phạm toàn bộ hạ tầng hệ thống. Mối đe dọa này đặc biệt đáng lo ngại vì nó có thể bị khai thác bởi người dùng cục bộ không có đặc quyền nhưng có quyền truy cập vào các khả năng của Netfilter, biến nó thành một vector leo thang đặc quyền đáng kể trên các hệ thống đa người dùng và môi trường container.

Cơ chế Lỗ hổng Kỹ thuật

Vị trí và Chức năng Bị ảnh hưởng

Lỗ hổng nằm trong triển khai kiểu tập hợp bitmap:ip trong hệ thống con ipset của nhân Linux. Ipset là một tiện ích mạnh mẽ, được sử dụng để quản lý hiệu quả các địa chỉ IP thông qua các tập hợp (sets) kết hợp với iptables và nftables, hai công cụ quản lý bảng quy tắc tường lửa trong Linux.

Cụ thể hơn, lỗi xảy ra trong hàm bitmap_ip_uadt, nằm trong file net/netfilter/ipset/ip_set_bitmap_ip.c. Đây là hàm chịu trách nhiệm xử lý các hoạt động thêm, xóa hoặc cập nhật các mục trong tập hợp bitmap:ip.

Nguyên nhân gốc rễ: Thiếu kiểm tra giới hạn

Nguyên nhân chính của lỗ hổng CVE này là do nhân Linux không thực hiện kiểm tra giới hạn đúng cách khi xử lý ký hiệu CIDR (Classless Inter-Domain Routing) cho các dải địa chỉ IP. Vấn đề phát sinh khi tb[IPSET_ATTR_CIDR] có mặt nhưng tb[IPSET_ATTR_IP_TO] không có.

Trong trường hợp này, hệ thống thực hiện các phép tính dải địa chỉ IP mà không xác minh rằng địa chỉ IP kết quả nằm trong dải bitmap hợp lệ được định nghĩa bởi map->first_ip. Sự bỏ sót này tạo ra điều kiện ghi ngoài giới hạn (out-of-bounds write), nơi kẻ tấn công có thể thao túng cấu trúc dữ liệu bitmap vượt ra ngoài giới hạn dự định của nó.

Vector Tấn công và Khai thác

Lỗ hổng này cho phép sửa đổi các cấu trúc bộ nhớ kernel, có khả năng làm hỏng dữ liệu hệ thống quan trọng và tạo điều kiện cho các cuộc tấn công leo thang đặc quyền. Các nhà nghiên cứu bảo mật đã chứng minh rằng lỗ hổng CVE này có thể bị khai thác để đạt được khả năng ghi bộ nhớ tùy ý trong không gian kernel. Điều này mang lại cho kẻ tấn công quyền kiểm soát gần như hoàn toàn đối với hệ thống.

Vector tấn công liên quan đến việc tạo ra các cấu hình ipset bitmap được chế tạo đặc biệt với các dải CIDR gây ra các điều kiện tràn số nguyên (integer underflow) trong quá trình tính toán chuyển đổi IP thành chỉ mục. Các điều kiện tràn số nguyên này có thể dẫn đến việc tính toán các địa chỉ bộ nhớ không chính xác, cho phép dữ liệu được ghi vào các vị trí bộ nhớ bên ngoài ranh giới được cấp phát, từ đó dẫn đến việc chiếm quyền điều khiển hệ thống.

Chi tiết về cách khai thác đã được công bố bởi các nhà nghiên cứu bảo mật. Để biết thêm thông tin kỹ thuật về phương pháp khai thác, bạn có thể tham khảo báo cáo của SSD Disclosure: Linux Kernel Netfilter ipset Missing Range Check LPE.

Biện pháp Khắc phục và Phòng ngừa

Cập nhật Bản vá Bảo mật

Biện pháp phòng ngừa và khắc phục quan trọng nhất đối với lỗ hổng CVE-2024-53141 là cập nhật ngay lập tức nhân Linux lên các phiên bản đã được vá lỗi. Bản vá đã được triển khai nhằm thực hiện xác thực giới hạn thích hợp cho các hoạt động dải IP dựa trên CIDR trong hệ thống con bitmap:ip.

Các quản trị viên hệ thống nên ưu tiên việc triển khai các bản vá bảo mật này trên tất cả các hệ thống Linux bị ảnh hưởng. Việc duy trì các bản cập nhật kernel là một phần thiết yếu của chiến lược an ninh mạng toàn diện, giúp bảo vệ chống lại các mối đe dọa leo thang đặc quyền.

Hạn chế Truy cập và Giám sát

Đối với các tổ chức không thể ngay lập tức triển khai các bản vá, cần xem xét các biện pháp giảm thiểu tạm thời. Một trong số đó là hạn chế quyền truy cập vào các khả năng của Netfilter. Điều này có thể liên quan đến việc điều chỉnh quyền hạn của người dùng và các chính sách bảo mật để đảm bảo chỉ những người dùng hoặc quy trình cần thiết mới có quyền tương tác với hệ thống con ipset.

Ngoài ra, việc giám sát nhật ký hệ thống để tìm kiếm các hoạt động ipset đáng ngờ là rất quan trọng. Mặc dù không phải là một giải pháp triệt để, việc phát hiện sớm các hoạt động bất thường có thể giúp ngăn chặn hoặc giảm thiểu thiệt hại từ một cuộc tấn công tiềm ẩn trước khi bản vá bảo mật được áp dụng hoàn toàn. Các công cụ giám sát xâm nhập (IDS/IPS) cũng có thể được cấu hình để cảnh báo về các hành vi bất thường liên quan đến ipset hoặc các hoạt động leo thang đặc quyền.

Để biết thêm thông tin chi tiết và theo dõi các bản cập nhật về lỗ hổng CVE-2024-53141, bạn có thể truy cập NVD (National Vulnerability Database) của NIST tại: https://nvd.nist.gov/vuln/detail/CVE-2024-53141.