【权限提升】Linux Kernel ebpf 提权漏洞(CVE-2022-23222)

骑猪看日落 2024-04-03 10:42 75阅读 0赞

#### 文章目录 ####

*  前言
 *  一、漏洞描述
 *  二、漏洞影响版本
 *  三、漏洞复现
 *  四、漏洞修复

--------------------

## 前言 ##

CVE-2022-23222 Linux Kernel ebpf权限提升漏洞

--------------------

## 一、漏洞描述 ##

eBPF(extended Berkeley Packet Filter)是一种可以在 Linux 内核中运行用户编写的程序，而不需要修改内核代码或加载内核模块的技术。简单来说eBPF 让 Linux 内核变得可编程化了。由于内核在执行用户提供的 eBPF 程序前缺乏适当的验证，攻击者可以利用这个漏洞获取 root 权限。该漏洞是由于 Linux 内核的 BPF 验证器存在一个空指针漏洞，没有对\*\_OR\_NULL 指针类型进行限制，允许这些类型进行指针运算。攻击者可  
利用该漏洞在获得低权限的情况下，构造恶意数据执行空指针引用攻击，最终获取服务器 root 权限。

## 二、漏洞影响版本 ##

5.8 ≤ Linux Kernel ≤ 5.16（Linux Kernel 5.10.92，5.15.15，5.16.1 不受影
    响）

## 三、漏洞复现 ##

**使用本地Kali进行测试**

先检测目标系统是否存在漏洞

–查看系统内核版本–  
uname -a  
![在这里插入图片描述][850a802dcdf149578dd46515580a09ab.png]  
确认在漏洞影响范围内

–查看是否允许低权限用户调用bpf–  
cat /proc/sys/kernel/unprivileged\_bpf\_disabled  
![在这里插入图片描述][2e5f12de357443fb86aae24df4ef5faf.png]  
值为"0" 表示允许非特权用户调用 bpf ,则可以利用  
值为"1" 表示禁止非特权用户调用 bpf 且该值不可再修改,只能重启后修改  
值为"2" 表示禁止非特权用户调用 bpf 可以再次修改为 0 或 1

通过如上验证得知存在该漏洞,那就可以直接提权了!!!

下载利用脚本:https://github.com/tr3ee/CVE-2022-23222  
![在这里插入图片描述][59a69522754c439ea50ea7eab585cca6.png]  
直接编译 make 然后运行 ./exploit  
![在这里插入图片描述][f0b5a06bb9a84f80b04f2ea22a7514c7.png]  
如果运行中出现如上所示报错,直接去修改exploit.c文件,将此段代码注释  
![在这里插入图片描述][c9576473e67b4a9b9b579e75ebbcdef6.png]  
保存->退出! 重新编译  
再次利用,发现提权成功!  
![在这里插入图片描述][731abbadabce4d258d77a1bfc5bdb47c.png]

## 四、漏洞修复 ##

升级Linux 内核至最新版

也可通过执行如下命令禁止非 root 用户使用 ebpf 的方式进行临时缓解

sudo sysctl kernel.unprivileged_bpf_disabled=2

参考链接：https://mp.weixin.qq.com/s/QJz9so27ao4rmT1Sbp74KA

[850a802dcdf149578dd46515580a09ab.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/03/fee107a1867d42629fe503cf492b787e.png
[2e5f12de357443fb86aae24df4ef5faf.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/03/96283ba908fe43b096e3a274ced1cc73.png
[59a69522754c439ea50ea7eab585cca6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/03/f6548672d3554a6ab014470832c5e7e0.png
[f0b5a06bb9a84f80b04f2ea22a7514c7.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/03/6ce0654639324cce9fadd2be5009df8e.png
[c9576473e67b4a9b9b579e75ebbcdef6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/03/3acb9bf38907446a9f22eab2c36e5d95.png
[731abbadabce4d258d77a1bfc5bdb47c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/03/eac20158fca64c3bb30771ff08d8b6cc.png