安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、Azure功能弱点允许特权升级 (4月8号)
研究人员发现,Azure Functions云容器的功能弱点将允许特权升级漏洞被利用。据悉,Azure Functions容器运行时带有-privileged Docker标志,这意味着/ dev目录中的设备文件可以在Docker主机和容器guest虚拟机之间共享。该漏洞源于这些设备文件对“其他”文件具有读写权限,从而可能引发内存攻击。
详细信息:
研究人员发现,使用Debugfs实用程序之后,无特权的用户可以轻松访问Azure Functions的文件系统,而且,可以编辑其中的任何文件。
首先,我们通过Debugfs在容器的diff目录中创建了一个硬链接,这样更改就可以辐射到容器。不过此硬链接仍需要root权限才能编辑,因此我们仍然必须使用zap_block来编辑其内容。
然后,使用posix_fadvise指示内核从名为’ pagecache management ‘的项目中启发,从读取缓存中丢弃页面。这导致内核加载了更改,这样能够将它们传播到Docker主机文件系统。由于能够编辑属于Docker主机的任意文件,攻击者可以更改/etc/ld.so预加载文件,这将允许“预加载劫持”攻击,通过容器的diff目录传播恶意共享对象。
由于该文件可以预加载到Docker主机系统的每个进程中(我们之前使用此技术记录了HiddenWasp恶意软件),因此攻击者将能够在Docker主机上执行恶意代码。
参考链接:
二、思科修复了允许以root权限远程执行代码的错误(4月7日)
近日,思科发布安全更新,以解决影响SD-WAN vManage软件的远程管理组件的关键的预身份验证远程代码执行(RCE)漏洞。其修复了同一产品的用户管理(CVE-2021-1137)和系统文件传输(CVE-2021-1480)功能中的另外两个严重安全漏洞,允许攻击者升级权限。据悉,利用这两个错误,攻击者可以以他们为目标,从而在基础操作系统上获得root用户权限。
详细信息
报告显示,CVE-2021-1479的严重安全漏洞获得了9.8(最高10分)的分数。它允许未经身份验证的远程攻击者在不需要用户交互的低复杂度攻击中触发脆弱设备的缓冲区溢出。
Cisco解释说:“攻击者可以通过向脆弱组件发送精心制作的连接请求来利用这个漏洞,当处理时,可能会导致缓冲区溢出。”成功利用漏洞可以让攻击者以root权限在底层操作系统上执行任意代码。
CVE-2021-1479是Cisco安全研究人员在进行内部安全测试时发现的,而CVE-2021-1137和CVE-2021-1480是由外部研究人员报告的。
参考链接:
https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-remote-code-execution-with-root-privileges/?&web_view=true
专家点评
#内存安全知名专家Jeff
利用缓冲区溢出漏洞引发内存攻击,可以让攻击者以root权限在底层操作系统上执行任意代码。对于用户而言,做好内存的安全防护则尤为重要。安芯神甲智能内存保护系统基于硬件虚拟化技术,可以很好的解决内存攻击带来的安全威胁。
来源:freebuf.com 2021-04-12 21:22:00 by: 安芯网盾
请登录后发表评论
注册