Linux Kernel (afecta a distribuciones y usuarios con configuraciones específicas)

Vulnerabilidad de io_uring ZCRX en Linux: escritura OOB en freelist lleva a LPE

race-condition

causa raíz

Timeline del incidente

T-X · Desarrolladores del kernel de Linux

Introducción de ZCRX (zero-copy receive) en Linux 6.15, con un freelist para gestionar niovs.

T-0 · Usuario malicioso/privilegiado

Un usuario con CAP_NET_ADMIN registra una IFQ ZCRX y configura un área de memoria.

T+1 · Kernel / NIC

Se envían paquetes UDP para llenar los niovs, algunos son procesados y devueltos al ptr_ring (Path A).

T+2 · Usuario malicioso/privilegiado

El usuario desactiva la interfaz de red (SIOCSIFFLAGS ~IFF_UP), lo que dispara la destrucción del page pool.

T+3 · Kernel

Durante la destrucción del page pool, el drain del ptr_ring devuelve niovs (Path A) y el scrub loop (Path B) también intenta devolver niovs in-flight.

T+4 · Kernel

Debido a una race condition entre Path A y Path B, 'free_count' excede 'num_niovs', resultando en una escritura OOB de un índice de niov (u32) en la memoria adyacente al freelist.

T+5 · Kernel

El valor OOB sobrescribe los 4 bytes bajos de 'm_list.next' de una estructura 'msg_msg' adyacente en el slab kmalloc-128.

T+6 · Usuario malicioso/privilegiado

Mediante heap grooming y msgrcv con MSG_COPY, se realiza un over-read para evadir KASLR y obtener la dirección de 'modprobe_path'.

T+7 · Usuario malicioso/privilegiado

Se sobrescribe 'modprobe_path' a través de /proc/sys/kernel/modprobe con la ruta a un script malicioso.

T+8 · Usuario malicioso/privilegiado

Se invoca una familia de sockets desconocida, lo que activa 'call_usermodehelper' y ejecuta el script malicioso con privilegios de root.

T+9 · Script malicioso

El script crea una shell SUID root, logrando una Escalada de Privilegios Local (LPE).

Análisis técnico

La vulnerabilidad reside en una race condition en el subsistema io_uring ZCRX del kernel de Linux (versiones 6.15-6.19). Específicamente, la función io_zcrx_return_niov_freelist carecía de una verificación de límites al incrementar free_count y escribir en el array freelist. Esto permitía que free_count excediera el tamaño asignado para freelist, llevando a una escritura Out-Of-Bounds (OOB).

La race condition se produce cuando dos rutas de código separadas intentan devolver net_iovs al mismo freelist de forma concurrente o en una secuencia específica durante la destrucción del page pool de la NIC. La ruta normal de finalización de recepción (Path A) y la ruta de 'scrub' durante la destrucción del page pool (Path B) pueden interactuar de tal manera que un net_iov se cuenta dos veces, provocando que free_count se incremente más allá de num_niovs. Esto resulta en una escritura de 4 bytes (un índice de net_iov, un entero pequeño) inmediatamente después del final del array freelist.

La explotación de esta escritura OOB se convierte en una LPE mediante una cadena de primitivas. Al controlar el tamaño del área de memoria registrada, el atacante puede elegir el slab cache (kmalloc-128 en este caso) donde se asigna el freelist. Mediante heap grooming, se coloca una estructura msg_msg inmediatamente después del freelist en el mismo slab. La escritura OOB corrompe los 4 bytes bajos del campo m_list.next de msg_msg. Aunque el valor escrito es pequeño, la preservación de los 32 bits altos del puntero original permite que el puntero corrupto siga apuntando a una dirección válida en el espacio de direcciones del kernel (physmap).

Finalmente, utilizando msgrcv con MSG_COPY y escaneando la memoria, se puede evadir KASLR para obtener la dirección de modprobe_path. Con esta dirección, el atacante sobrescribe modprobe_path a través de /proc/sys/kernel/modprobe con la ruta a un script malicioso. Al invocar una familia de sockets desconocida, el kernel ejecuta call_usermodehelper con el modprobe_path modificado, lo que resulta en la ejecución del script malicioso con privilegios de root, culminando en una LPE.

Remediaciones y action items

✓ Implementación de una verificación de límites (`WARN_ON_ONCE(area->free_count >= area->nia.num_niovs)`) antes de la escritura en el array `freelist` para prevenir la escritura OOB. (Commit 770594e)
✓ Asegurar que las operaciones de drenaje y limpieza de estructuras de datos compartidas sean atómicas o estén adecuadamente sincronizadas para evitar race conditions.
✓ Actualizar los kernels de Linux a versiones que incluyan el commit 770594e o posteriores (6.19.12+ o 6.20+).
✓ Limitar el uso de `CAP_NET_ADMIN` en entornos de contenedores o VMs a solo aquellos procesos que realmente lo requieran, ya que esta capacidad es un prerrequisito para la explotación.

Lecciones para arquitectos

→ Siempre validar los límites de los arrays antes de escribir en ellos, especialmente en código de kernel crítico.
→ Las race conditions en rutas de código de teardown o limpieza son tan peligrosas como en rutas de ejecución principales.
→ Pequeñas escrituras OOB de valores controlados pueden ser tan potentes como escrituras arbitrarias si se combinan con heap grooming.
→ La interacción entre diferentes subsistemas del kernel puede crear vectores de ataque inesperados.
→ La granularidad de las capacidades de seguridad (ej. CAP_NET_ADMIN) debe ser cuidadosamente evaluada para minimizar la superficie de ataque.
→ La separación de privilegios y el principio de menor privilegio son fundamentales para la seguridad del sistema.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp