Sensitive Mounts
Die Offenlegung von /proc und /sys ohne angemessene Namespace-Isolierung birgt erhebliche Sicherheitsrisiken, einschließlich einer Vergrößerung der Angriffsfläche und der Offenlegung von Informationen. Diese Verzeichnisse enthalten sensible Dateien, die bei falscher Konfiguration oder Zugriff durch einen nicht autorisierten Benutzer zu einem Container-Ausbruch, einer Änderung des Hosts oder zur Bereitstellung von Informationen führen können, die weitere Angriffe unterstützen. Beispielsweise kann das falsche Einhängen von -v /proc:/host/proc den AppArmor-Schutz aufgrund seiner pfadbasierten Natur umgehen und /host/proc ungeschützt lassen.
Weitere Details zu jeder potenziellen Schwachstelle finden Sie unter https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts.
procfs-Schwachstellen
/proc/sys
/proc/sysDieses Verzeichnis ermöglicht den Zugriff auf die Änderung von Kernelvariablen, normalerweise über sysctl(2), und enthält mehrere Unterordner von Interesse:
/proc/sys/kernel/core_pattern
/proc/sys/kernel/core_patternBeschrieben in core(5).
Ermöglicht die Definition eines Programms, das bei der Generierung von Core-Dateien mit den ersten 128 Bytes als Argumenten ausgeführt wird. Dies kann zu einer Codeausführung führen, wenn die Datei mit einem Pipe-Zeichen
|beginnt.Beispiel für Test und Ausnutzung:
/proc/sys/kernel/modprobe
/proc/sys/kernel/modprobeDetailliert in proc(5).
Enthält den Pfad zum Kernelmodullader, der zum Laden von Kernelmodulen aufgerufen wird.
Beispiel zur Überprüfung des Zugriffs:
/proc/sys/vm/panic_on_oom
/proc/sys/vm/panic_on_oomReferenziert in proc(5).
Ein globaler Schalter, der steuert, ob der Kernel bei einem OOM-Zustand in Panik gerät oder den OOM-Killer aufruft.
/proc/sys/fs
/proc/sys/fsGemäß proc(5) enthält Optionen und Informationen zum Dateisystem.
Schreibzugriff kann verschiedene Denial-of-Service-Angriffe gegen den Host ermöglichen.
/proc/sys/fs/binfmt_misc
/proc/sys/fs/binfmt_miscErmöglicht die Registrierung von Interpretern für nicht native Binärformate basierend auf ihrer Magiezahl.
Kann zu Privilegieneskalation oder Root-Shell-Zugriff führen, wenn
/proc/sys/fs/binfmt_misc/registerbeschreibbar ist.Relevanter Exploit und Erklärung:
Ausführliches Tutorial: Video-Link
Andere in /proc
/proc/proc/config.gz
/proc/config.gzKann die Kernelkonfiguration offenlegen, wenn
CONFIG_IKCONFIG_PROCaktiviert ist.Nützlich für Angreifer, um Schwachstellen im laufenden Kernel zu identifizieren.
/proc/sysrq-trigger
/proc/sysrq-triggerErmöglicht das Auslösen von Sysrq-Befehlen, die möglicherweise sofortige Systemneustarts oder andere kritische Aktionen verursachen.
Beispiel zum Neustart des Hosts:
/proc/kmsg
/proc/kmsgZeigt Kernelringpuffermeldungen an.
Kann bei Kernel-Exploits, Adresslecks und der Bereitstellung sensibler Systeminformationen helfen.
/proc/kallsyms
/proc/kallsymsListet exportierte Kernel-Symbole und deren Adressen auf.
Wesentlich für die Entwicklung von Kernel-Exploits, insbesondere zur Überwindung von KASLR.
Adressinformationen sind mit
kptr_restrictauf1oder2beschränkt.Details in proc(5).
/proc/[pid]/mem
/proc/[pid]/memInteragiert mit dem Kernel-Speichergerät
/dev/mem.Historisch anfällig für Privilegieneskalationsangriffe.
Mehr unter proc(5).
/proc/kcore
/proc/kcoreStellt den physischen Speicher des Systems im ELF-Core-Format dar.
Das Lesen kann den Speicherinhalt des Host-Systems und anderer Container preisgeben.
Eine große Dateigröße kann zu Leseproblemen oder Softwareabstürzen führen.
Detaillierte Verwendung in Dumping /proc/kcore in 2019.
/proc/kmem
/proc/kmemAlternative Schnittstelle für
/dev/kmem, die den virtuellen Kernel-Speicher darstellt.Ermöglicht das Lesen und Schreiben, daher die direkte Modifikation des Kernel-Speichers.
/proc/mem
/proc/memAlternative Schnittstelle für
/dev/mem, die den physischen Speicher darstellt.Ermöglicht das Lesen und Schreiben, die Modifikation des gesamten Speichers erfordert die Auflösung virtueller in physische Adressen.
/proc/sched_debug
/proc/sched_debugGibt Informationen zur Prozessplanung zurück und umgeht PID-Namensraumschutzmaßnahmen.
Offenbart Prozessnamen, IDs und cgroup-Bezeichner.
/proc/[pid]/mountinfo
/proc/[pid]/mountinfoBietet Informationen über Einhängepunkte im Einhängepunkt-Namensraum des Prozesses.
Offenbart den Speicherort des Container-
rootfsoder des Images.
sys-Schwachstellen
/sys/kernel/uevent_helper
/sys/kernel/uevent_helperWird zur Behandlung von Kernelgeräte-
ueventsverwendet.Das Schreiben in
/sys/kernel/uevent_helperkann beliebige Skripte beiuevent-Auslösern ausführen.Beispiel für Ausnutzung: %%%bash
Erstellt eine Nutzlast
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
Ermittelt den Hostpfad aus dem OverlayFS-Einhängepunkt für den Container
host_path=$(sed -n 's/.\perdir=([^,]).*/\1/p' /etc/mtab)
Setzt uevent_helper auf bösartigen Helfer
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
Löst einen uevent aus
echo change > /sys/class/mem/null/uevent
Liest die Ausgabe
cat /output %%%
/sys/class/thermal
/sys/class/thermalSteuert Temperatureinstellungen, was potenziell DoS-Angriffe oder physische Schäden verursachen kann.
/sys/kernel/vmcoreinfo
/sys/kernel/vmcoreinfoGibt Kernel-Adressen preis, was potenziell KASLR gefährden kann.
/sys/kernel/security
/sys/kernel/securityBeherbergt die
securityfs-Schnittstelle, die die Konfiguration von Linux Security Modules wie AppArmor ermöglicht.Der Zugriff könnte einem Container ermöglichen, sein MAC-System zu deaktivieren.
/sys/firmware/efi/vars und /sys/firmware/efi/efivars
/sys/firmware/efi/vars und /sys/firmware/efi/efivarsBietet Schnittstellen zur Interaktion mit EFI-Variablen im NVRAM.
Fehlkonfiguration oder Ausnutzung kann zu unbrauchbaren Laptops oder nicht bootfähigen Host-Maschinen führen.
/sys/kernel/debug
/sys/kernel/debugdebugfsbietet eine "keine Regeln" Debugging-Schnittstelle zum Kernel.Geschichte von Sicherheitsproblemen aufgrund seiner uneingeschränkten Natur.
Referenzen
Last updated
