东森平台

首页 > 宁静研究 > 研究陈诉 > 宁静漏洞分析

Linux内核AF_VSOCK套接字条件竞争漏洞（CVE-2021-26708）分析

宣布时间 2021-03-10

漏洞配景

近期，国外宁静研究人员在oss-security上披露了一个AF_VSOCK套接字条件竞争高危漏洞CVE-2021-26708（CNVD-2021-10822、CNNVD-202102-529）。凭据披露细节，该漏洞是由于错误加锁导致，可以在低权限下触发并自动加载易受攻击驱动�？榇唇ˋF_VSOCK套接字，进而导致当地权限提升。该漏洞补丁已经合并到Linux内核主线中。

VSOCK介绍和架构

VSOCK介绍

VM套接字最早是由Vmware开发并提交到Linux内核主线中。VM套接字允许虚拟机与虚拟机管理法式之间进行通信。虚拟机和主机上的用户级应用法式都可以使用VM 套接字API，从而促进guest虚拟机与其host之间的快速有效通信。该机制提供了一个vsock套接字地址系列及其vmci传输，旨在与接口级此外UDP和TCP兼容。VSOCK机制随即得到Linux社区的响应，Redhat在VSOCK中为vsock添加了virtio传输，QEMU/KVM虚拟机管理提供支持，Microsoft添加了HyperV传输。

VSOCK架构

VM套接字与其他套接字类型类似，例如Berkeley UNIX套接字接口。VM套接字�？橹С置嫦蛄拥牧魈捉幼郑ɡ鏣CP）和无连接数据报套接字（例如UDP）。VM套接字协议系列界说为“AF_VSOCK”，而且套接字操作分为SOCK_DGRAM和SOCK_STREAM。如下图所示：

VSOCK支持socket API。AF_SOCK地址簇包罗两个要素：CID和port。CID为ContextIdentifier，上下文标识符；port为端口。TCP/IP应用法式几乎不需要更改就可以适配，每一个地址体现为�；褂幸徊阄猼ransport，VSOCK transport用于实现guest和host之间通信的数据通道。如下图所示：

Transport凭据传输偏向分为两种（以SOCK_STREAM类型为例），一种为G2H transport，体现guest到host的传输类型，运行在guest中。另一种为H2G transport，体现host到guest的传输类型。以QEMU/KVM传输为例，如下图所示：

该传输提供套接字层接口的驱动分为两个部门：一个是运行在guest中的virtio-transport，用于配合guest进行数据传输；另一个是运行在host中的vhost-transport，用于配合host进行数据传输。VSOCK transport还提供多传输通道模式，该功效是为了支持嵌套虚拟机中的VSOCK功效。如下图所示：

支持L1虚拟机同时加载H2G和G2H两个传输通道，此时L1虚拟机即是host也是guest，通过H2G传输通道和L2嵌套虚拟机通信，通过G2H传输通道和L0 host通信。VSOCK transport还支持当地环回传输通道模式，不需要有虚拟机。如下图所示：

该模式用于测试和调试，由vsock-loopback提供支持，并对地址簇中的CID进行了分类，包罗两种类型：一种是VMADDR_CID_LOCAL，体现当地环回；一种为VMADDR_CID_HOST，体现H2G传输通道加载，G2H传输通道未加载。

漏洞分析与触发过程

漏洞分析

该漏洞触发原因是错误加锁导致条件竞争，凭据补丁可知，存在多处错误加锁，这里以vsock_stream_setsockopt()函数补丁为例，如下图所示：

补丁很简洁，将第1564行代码移动到第1571行，中间就隔着第1569行代码：lock_sock(sk)。加锁前，vsk->transport已经赋值到transport变量中，这里发生了一个引用，然后才进行lock_sock(sk)将sk锁定。但是vsk->transport会在多处被调用甚至被释放，这就有可能通过条件竞争造成Use After Free。

触发过程

首先找到修改或释放vsk->transport的调用路径，来看要害函数vsock_assign_transport()的实现。对于多传输模式，该函数用于凭据差异CID分配差异的传输通道。实现代码如下图所示：

凭据sk->sk_type分为SOCK_DGRAM和SOCK_STREAM，在SOCK_STREAM中，分为三种传输通道。这里可以通过将CID设置为当地环回模式，得到transport_local传输通道。接下来如下图所示：

如果vsk->transport不为空，则进入if语句。先判断vsk->transport是否即是new_transport，如果即是直接返回，在触发过程中，要保证能走到vsock_deassign_transport()函数，该函数是析构函数，用于释放transport。如下代码所示：

行411，调用vsk->transport->destruct()，要明确使用transport类型，前文已经确定使用transport_local。Transport_local为全局变量，会在vsock_core_register()函数中被初始化。该函数被调用情况如下图所示：

*_init()函数用来初始化transport的回调函数，凭据第二部门介绍，vhost_vsock_init()、virtio_vsock_init()和vsock_loopback_init()函数为QEMU/KVM环境下的支持函数。我们发现transport->destruct()函数的最后实现都是同一个函数。如下图所示：

该destruct()函数释放vsk->trans，如下图所示：

而vsk->trans指针是指向transport的。结构体vsock_sock界说如下所示：

最终可以结构一个释放transport的函数路径为：vsock_stream_connect-> vsock_assign_transport->virtio_transport_destrcut。

找到了释放路径，下一步找使用路径，virtio_transport_notify_buffer_size()函数会使用transport。如下图所示：

第492行，通过vsk->trans获取指向transport的指针，第497行，解引用vvs指针，对vvs->buf_alloc进行赋值。而调用virtio_transport_notify_buffer_size()函数最终会被vsock_stream_setsockopt()函数调用。最终可以结构一个使用transport的函数路径为：vsock_stream_setsockopt-> vsock_update_buffer_size->virtio_transport_notify_buffer_size。

接下来就是营造一个抢锁的条件竞争环境，很明显必须是connect()系统调用先抢到锁对transport进行释放，然后再调用setsockopt()才气触发漏洞。有开发人员提出使用userfaultfd机制先将lock_sock锁定，然后在去释放锁，进行条件竞争。漏洞触发过程如下图所示：

蓝框中是connect()调用过程，最后调用virtio_transport_destruct()函数释放vsk->trans。红框中是setsockopt()调用过程，调用virtio_transport_notify_buffer_size()函数使用vvs，该值是0xffff888107a74500，在0xffff888107a74500+0x28处会写入4字节。

参考链接：

[1]https://github.com/torvalds/linux/commit/d021c344051af91f42c5ba9fdedc176740cbd238

[2]https://static.sched.com/hosted_files/devconfcz2020a/b1/DevConf.CZ_2020_vsock_v1.1.pdf

[3]https://github.com/jordan9001/vsock_poc

[4]https://terenceli.github.io/%E6%8A%80%E6%9C%AF/2020/04/18/vsock-internals

东森平台积极防御实验室（ADLab）

ADLab建立于1999年，是中国宁静行业最早建立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”看法首推者。截止目前，ADLab已通过CVE累计宣布宁静漏洞近1100个，通过 CNVD/CNNVD累计宣布宁静漏洞1000余个，连续保持国际网络宁静领域一流水准。实验室研究偏向涵盖操作系统与应用系统宁静研究、智能终端宁静研究、物联网智能设备宁静研究、Web宁静研究、工控系统宁静研究、云宁静研究。研究结果应用于产物核心技术研究、国家重点科技项目攻关、专业宁静服务等。

微信图片_20210310102858.jpg

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号