Sensitive Mounts
Die Offenlegung von /proc und /sys ohne ordnungsgemäße Namespace-Isolierung birgt erhebliche Sicherheitsrisiken, einschließlich einer Vergrößerung der Angriffsfläche und der Offenlegung von Informationen. Diese Verzeichnisse enthalten sensible Dateien, die bei falscher Konfiguration oder Zugriff durch einen nicht autorisierten Benutzer zu einem Container-Ausbruch, einer Host-Modifikation oder zur Bereitstellung von Informationen führen können, die weitere Angriffe unterstützen. Beispielsweise kann das falsche Einhängen von -v /proc:/host/proc den AppArmor-Schutz aufgrund seiner pfadbasierten Natur umgehen und /host/proc ungeschützt lassen.
Weitere Details zu jeder potenziellen Schwachstelle finden Sie unter https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts.
procfs-Schwachstellen
/proc/sys
/proc/sysDieses Verzeichnis ermöglicht den Zugriff auf die Änderung von Kernelvariablen, normalerweise über sysctl(2), und enthält mehrere Unterordner von Interesse:
/proc/sys/kernel/core_pattern
/proc/sys/kernel/core_patternBeschrieben in core(5).
Ermöglicht die Definition eines Programms, das bei der Generierung von Core-Dateien mit den ersten 128 Bytes als Argumenten ausgeführt werden soll. Dies kann zu einer Codeausführung führen, wenn die Datei mit einem Pipe-Zeichen
|beginnt.Beispiel für Test und Ausnutzung:
/proc/sys/kernel/modprobe
/proc/sys/kernel/modprobeAusführlich beschrieben in proc(5).
Enthält den Pfad zum Kernelmodullader, der zum Laden von Kernelmodulen aufgerufen wird.
Beispiel zur Überprüfung des Zugriffs:
/proc/sys/vm/panic_on_oom
/proc/sys/vm/panic_on_oomBezugnahme auf proc(5).
Ein globaler Schalter, der steuert, ob der Kernel bei einem OOM-Zustand in den Panikmodus wechselt oder den OOM-Killer aufruft.
/proc/sys/fs
/proc/sys/fsGemäß proc(5) enthält Optionen und Informationen zum Dateisystem.
Schreibzugriff kann verschiedene Denial-of-Service-Angriffe gegen den Host ermöglichen.
/proc/sys/fs/binfmt_misc
/proc/sys/fs/binfmt_miscErmöglicht die Registrierung von Interpretern für nicht native Binärformate anhand ihrer Magiezahl.
Kann zu Privilegieneskalation oder Root-Shell-Zugriff führen, wenn
/proc/sys/fs/binfmt_misc/registerbeschreibbar ist.Relevantes Exploit und Erklärung:
Ausführliches Tutorial: Video-Link
Andere in /proc
/proc/proc/config.gz
/proc/config.gzKann die Kernelkonfiguration offenlegen, wenn
CONFIG_IKCONFIG_PROCaktiviert ist.Nützlich für Angreifer, um Schwachstellen im laufenden Kernel zu identifizieren.
/proc/sysrq-trigger
/proc/sysrq-triggerErmöglicht das Auslösen von Sysrq-Befehlen, die potenziell sofortige Systemneustarts oder andere kritische Aktionen verursachen können.
Beispiel zum Neustart des Hosts:
/proc/kmsg
/proc/kmsgZeigt Kernelringpuffermeldungen an.
Kann bei Kernel-Exploits, Adresslecks und der Bereitstellung sensibler Systeminformationen helfen.
/proc/kallsyms
/proc/kallsymsListet exportierte Kernel-Symbole und deren Adressen auf.
Wesentlich für die Entwicklung von Kernel-Exploits, insbesondere zur Überwindung von KASLR.
Adressinformationen sind mit
kptr_restrictauf1oder2beschränkt.Details in proc(5).
/proc/[pid]/mem
/proc/[pid]/memKommuniziert mit dem Kernel-Speichergerät
/dev/mem.Historisch anfällig für Privilegieneskalationsangriffe.
Mehr dazu in proc(5).
/proc/kcore
/proc/kcoreStellt den physischen Speicher des Systems im ELF-Core-Format dar.
Das Lesen kann den Speicherinhalt des Hostsystems und anderer Container preisgeben.
Eine große Dateigröße kann zu Leseproblemen oder Softwareabstürzen führen.
Detaillierte Verwendung in Dumping /proc/kcore in 2019.
/proc/kmem
/proc/kmemAlternative Schnittstelle für
/dev/kmem, die den virtuellen Kernel-Speicher darstellt.Ermöglicht das Lesen und Schreiben, daher die direkte Modifikation des Kernel-Speichers.
/proc/mem
/proc/memAlternative Schnittstelle für
/dev/mem, die den physischen Speicher darstellt.Ermöglicht das Lesen und Schreiben, die Modifikation des gesamten Speichers erfordert die Auflösung virtueller in physische Adressen.
/proc/sched_debug
/proc/sched_debugGibt Informationen zur Prozessplanung aus, um die PID-Namensraumschutzmaßnahmen zu umgehen.
Zeigt Prozessnamen, IDs und cgroup-Bezeichner an.
/proc/[pid]/mountinfo
/proc/[pid]/mountinfoBietet Informationen über Einhängepunkte im Einhängepunkt-Namensraum des Prozesses.
Zeigt den Speicherort des Container-
rootfsoder des Images an.
sys-Schwachstellen
/sys/kernel/uevent_helper
/sys/kernel/uevent_helperWird zur Behandlung von Kernelgeräte-
ueventsverwendet.Das Schreiben in
/sys/kernel/uevent_helperkann beliebige Skripte beiuevent-Auslösern ausführen.Beispiel für Ausnutzung: %%%bash
Erstellt eine Nutzlast
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
Ermittelt den Hostpfad aus dem OverlayFS-Einhängepunkt für den Container
host_path=$(sed -n 's/.\perdir=([^,]).*/\1/p' /etc/mtab)
Setzt uevent_helper auf bösartigen Helfer
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
Löst ein uevent aus
echo change > /sys/class/mem/null/uevent
Liest die Ausgabe
cat /output %%%
/sys/class/thermal
/sys/class/thermalSteuert Temperatureinstellungen, die potenziell DoS-Angriffe oder physische Schäden verursachen können.
/sys/kernel/vmcoreinfo
/sys/kernel/vmcoreinfoGibt Kernel-Adressen preis, was potenziell die KASLR gefährden kann.
/sys/kernel/security
/sys/kernel/securityBeherbergt die
securityfs-Schnittstelle, die die Konfiguration von Linux Security Modules wie AppArmor ermöglicht.Der Zugriff könnte einem Container ermöglichen, sein MAC-System zu deaktivieren.
/sys/firmware/efi/vars und /sys/firmware/efi/efivars
/sys/firmware/efi/vars und /sys/firmware/efi/efivarsBietet Schnittstellen zur Interaktion mit EFI-Variablen im NVRAM.
Falsche Konfiguration oder Ausnutzung kann zu unbrauchbaren Laptops oder nicht bootfähigen Host-Maschinen führen.
/sys/kernel/debug
/sys/kernel/debugdebugfsbietet eine "keine Regeln" Debugging-Schnittstelle zum Kernel.Geschichte von Sicherheitsproblemen aufgrund seiner uneingeschränkten Natur.
Referenzen
Last updated
