Sensitive Mounts
L'esposizione di /proc e /sys senza un'adeguata isolamento dei namespace introduce rischi significativi per la sicurezza, inclusa l'espansione della superficie di attacco e la divulgazione di informazioni. Queste directory contengono file sensibili che, se configurati in modo errato o accessibili da un utente non autorizzato, possono portare alla fuga del container, alla modifica dell'host o fornire informazioni che facilitano ulteriori attacchi. Ad esempio, il montaggio non corretto di -v /proc:/host/proc può eludere la protezione di AppArmor a causa della sua natura basata sul percorso, lasciando /host/proc non protetto.
Puoi trovare ulteriori dettagli su ciascuna vulnerabilità potenziale in https://0xn3va.gitbook.io/cheat-sheets/container/escaping/sensitive-mounts.
Vulnerabilità di procfs
/proc/sys
/proc/sysQuesta directory consente l'accesso per modificare le variabili del kernel, di solito tramite sysctl(2), e contiene diverse sottodirectory di interesse:
/proc/sys/kernel/core_pattern
/proc/sys/kernel/core_patternDescritto in core(5).
Consente di definire un programma da eseguire alla generazione del file core con i primi 128 byte come argomenti. Ciò può portare all'esecuzione di codice se il file inizia con un pipe
|.Esempio di test ed exploit:
/proc/sys/kernel/modprobe
/proc/sys/kernel/modprobeDettagliato in proc(5).
Contiene il percorso al caricatore di moduli del kernel, invocato per il caricamento dei moduli del kernel.
Esempio di controllo dell'accesso:
/proc/sys/vm/panic_on_oom
/proc/sys/vm/panic_on_oomCitato in proc(5).
Un flag globale che controlla se il kernel va in panico o invoca l'OOM killer quando si verifica una condizione OOM.
/proc/sys/fs
/proc/sys/fsCome da proc(5), contiene opzioni e informazioni sul file system.
L'accesso in scrittura può consentire vari attacchi di negazione del servizio contro l'host.
/proc/sys/fs/binfmt_misc
/proc/sys/fs/binfmt_miscConsente di registrare interpreti per formati binari non nativi in base al loro numero magico.
Può portare a un'escalation dei privilegi o all'accesso alla shell di root se
/proc/sys/fs/binfmt_misc/registerè scrivibile.Esploito e spiegato in modo dettagliato:
Tutorial approfondito: Link al video
Altri in /proc
/proc/proc/config.gz
/proc/config.gzPotrebbe rivelare la configurazione del kernel se
CONFIG_IKCONFIG_PROCè abilitato.Utile per gli attaccanti per identificare vulnerabilità nel kernel in esecuzione.
/proc/sysrq-trigger
/proc/sysrq-triggerConsente di invocare comandi Sysrq, causando potenzialmente riavvii immediati del sistema o altre azioni critiche.
Esempio di riavvio dell'host:
/proc/kmsg
/proc/kmsgEspone i messaggi del buffer circolare del kernel.
Può aiutare negli exploit del kernel, nelle fughe di indirizzi e nel fornire informazioni sensibili sul sistema.
/proc/kallsyms
/proc/kallsymsElenca i simboli esportati dal kernel e i loro indirizzi.
Fondamentale per lo sviluppo di exploit del kernel, specialmente per superare KASLR.
Le informazioni sugli indirizzi sono limitate con
kptr_restrictimpostato su1o2.Dettagli in proc(5).
/proc/[pid]/mem
/proc/[pid]/memInterfaccia con il dispositivo di memoria del kernel
/dev/mem.Storicamente vulnerabile agli attacchi di escalation dei privilegi.
Maggiori dettagli in proc(5).
/proc/kcore
/proc/kcoreRappresenta la memoria fisica del sistema in formato core ELF.
La lettura può rivelare i contenuti della memoria dell'host e di altri container.
Le dimensioni del file possono causare problemi di lettura o crash del software.
Utilizzo dettagliato in Dumping /proc/kcore in 2019.
/proc/kmem
/proc/kmemInterfaccia alternativa per
/dev/kmem, rappresentante la memoria virtuale del kernel.Consente la lettura e la scrittura, quindi la modifica diretta della memoria del kernel.
/proc/mem
/proc/memInterfaccia alternativa per
/dev/mem, rappresentante la memoria fisica.Consente la lettura e la scrittura, la modifica di tutta la memoria richiede la risoluzione degli indirizzi virtuali in fisici.
/proc/sched_debug
/proc/sched_debugRestituisce informazioni sulla pianificazione dei processi, eludendo le protezioni dello spazio dei PID.
Espone nomi dei processi, ID e identificatori cgroup.
/proc/[pid]/mountinfo
/proc/[pid]/mountinfoFornisce informazioni sui punti di mount nel namespace di mount del processo.
Espone la posizione del
rootfso dell'immagine del container.
Vulnerabilità di /sys
/sys/sys/kernel/uevent_helper
/sys/kernel/uevent_helperUsato per gestire i
ueventdei dispositivi del kernel.Scrivere su
/sys/kernel/uevent_helperpuò eseguire script arbitrari al verificarsi diueventtriggers.Esempio di exploit: %%%bash
Crea un payload
echo "#!/bin/sh" > /evil-helper echo "ps > /output" >> /evil-helper chmod +x /evil-helper
Trova il percorso dell'host dal mount OverlayFS per il container
host_path=$(sed -n 's/.\perdir=([^,]).*/\1/p' /etc/mtab)
Imposta uevent_helper su un helper malizioso
echo "$host_path/evil-helper" > /sys/kernel/uevent_helper
Attiva un uevent
echo change > /sys/class/mem/null/uevent
Legge l'output
cat /output %%%
/sys/class/thermal
/sys/class/thermalControlla le impostazioni della temperatura, potenzialmente causando attacchi DoS o danni fisici.
/sys/kernel/vmcoreinfo
/sys/kernel/vmcoreinfoRilascia gli indirizzi del kernel, compromettendo potenzialmente il KASLR.
/sys/kernel/security
/sys/kernel/securityContiene l'interfaccia
securityfs, permettendo la configurazione dei Moduli di Sicurezza Linux come AppArmor.L'accesso potrebbe consentire a un container di disabilitare il suo sistema MAC.
/sys/firmware/efi/vars e /sys/firmware/efi/efivars
/sys/firmware/efi/vars e /sys/firmware/efi/efivarsEspone interfacce per interagire con le variabili EFI nella NVRAM.
Una errata configurazione o sfruttamento può portare a laptop bloccati o macchine host non avviabili.
/sys/kernel/debug
/sys/kernel/debugdebugfsoffre un'interfaccia di debug "senza regole" al kernel.Storia di problemi di sicurezza dovuti alla sua natura non limitata.
References
Last updated
