與Windows相比，Linux被認(rèn)為具有更好的安全性和其他擴(kuò)展性能。這些特性使得Linux在操作系統(tǒng)領(lǐng)域異軍突起，得到越來越多的重視。隨著Linux應(yīng)用量的增加，其安全性也逐漸受到了公眾甚或黑客的關(guān)注。那么，Linux是否真的如其支持廠商們所宣稱的那樣安全呢？本期我們請到了啟明星辰信息技術(shù)有限公司積極防御實(shí)驗(yàn)室工程師趙偉，對Linux進(jìn)行專業(yè)的漏洞技術(shù)分析。


Linux內(nèi)核精短、穩(wěn)定性高、可擴(kuò)展性好、硬件需求低、免費(fèi)、網(wǎng)絡(luò)功能豐富、適用于多種cpu等特性，使之在操作系統(tǒng)領(lǐng)域異軍突起。其獨(dú)特的魅力使它不僅在pc機(jī)上占據(jù)一定的份額，而且越來越多地被使用在各種嵌入式設(shè)備中，并被當(dāng)作專業(yè)的路由器，防火墻，或者高端的服務(wù)器OS來使用。各種類型的Linux發(fā)行版本也如雨后春筍般冒了出來，國內(nèi)更是掀起了Linux的使用熱潮，很多部門因安全需要也被要求使用Linux。正是因?yàn)長inux被越來越多地使用，其安全性也漸漸受到了公眾的關(guān)注，當(dāng)然，也更多地受到了黑客的關(guān)注。通常，我們討論Linux系統(tǒng)安全都是從Linux安全配置的角度或者Linux的安全特性等方面來討論的，而這一次我們轉(zhuǎn)換一下視角，從Linux系統(tǒng)中存在的漏洞與這些漏洞產(chǎn)生的影響來討論Linux的安全性。


首先來說明一下這次我們討論Linux系統(tǒng)安全的范圍，其實(shí)通常我們所說的Linux是指GNU/Linux系統(tǒng)，Linux是系統(tǒng)中使用的操作系統(tǒng)內(nèi)核。這一次我們重點(diǎn)從Linux系統(tǒng)內(nèi)核中存在的幾類非常有特點(diǎn)的漏洞來討論Linux系統(tǒng)的安全性。



權(quán)限提升類漏洞


一般來說，利用系統(tǒng)上一些程序的邏輯缺陷或緩沖區(qū)溢出的手段，攻擊者很容易在本地獲得Linux服務(wù)器上管理員權(quán)限r(nóng)oot；在一些遠(yuǎn)程的情況下，攻擊者會利用一些以root身份執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來取得root權(quán)限，或利用有缺陷的服務(wù)進(jìn)程漏洞來取得普通用戶權(quán)限用以遠(yuǎn)程登錄服務(wù)器。目前很多Linux服務(wù)器都用關(guān)閉各種不需要的服務(wù)和進(jìn)程的方式來提升自身的安全性，但是只要這個服務(wù)器上運(yùn)行著某些服務(wù)，攻擊者就可以找到權(quán)限提升的途徑。下面是一個比較新的導(dǎo)致權(quán)限提升的漏洞。


do_brk()邊界檢查不充分漏洞在2003年9月份被Linux內(nèi)核開發(fā)人員發(fā)現(xiàn)，并在9月底發(fā)布的Linux kernel 2.6.0-test6中對其進(jìn)行了修補(bǔ)。但是Linux內(nèi)核開發(fā)人員并沒有意識到此漏洞的威脅，所以沒有做任何通報(bào)，一些安全專家與黑客卻看到了此漏洞蘊(yùn)涵的巨大威力。在2003年11月黑客利用rsync中一個未公開的堆溢出與此漏洞配合，成功地攻擊了多臺Debian與Gentoo Linux的服務(wù)器。


下面讓我們簡單描述一下該漏洞。該漏洞被發(fā)現(xiàn)于brk系統(tǒng)調(diào)用中。brk系統(tǒng)調(diào)用可以對用戶進(jìn)程的堆的大小進(jìn)行操作，使堆擴(kuò)展或者縮小。而brk內(nèi)部就是直接使用do_brk()函數(shù)來做具體的操作， do_brk()函數(shù)在調(diào)整進(jìn)程堆的大小時既沒有對參數(shù)len進(jìn)行任何檢查（不檢查大小也不檢查正負(fù)），也沒有對addr+len是否超過TASK_SIZE做檢查。這樣我們就可以向它提交任意大小的參數(shù)len，使用戶進(jìn)程的大小任意改變以至可以超過TASK_SIZE的限制，使系統(tǒng)認(rèn)為內(nèi)核范圍的內(nèi)存空間也是可以被用戶訪問的，這樣的話普通用戶就可以訪問到內(nèi)核的內(nèi)存區(qū)域。通過一定的操作，攻擊者就可以獲得管理員權(quán)限。這個漏洞極其危險(xiǎn)，利用這個漏洞可以使攻擊者直接對內(nèi)核區(qū)域操作，可以繞過很多Linux系統(tǒng)下的安全保護(hù)模塊。


此漏洞的發(fā)現(xiàn)提出了一種新的漏洞概念，即通過擴(kuò)展用戶的內(nèi)存空間到系統(tǒng)內(nèi)核的內(nèi)存空間來提升權(quán)限。當(dāng)發(fā)現(xiàn)這種漏洞時，通過研究我們就認(rèn)為內(nèi)核中一定還會存在類似的漏洞，果然幾個月后黑客們又在Linux內(nèi)核中發(fā)現(xiàn)與brk相似的漏洞。通過這次成功的預(yù)測，更證實(shí)了對這種新型的概念型漏洞進(jìn)行研究很有助于安全人員在系統(tǒng)中發(fā)現(xiàn)新的漏洞。



拒絕服務(wù)類漏洞


拒絕服務(wù)攻擊是目前比較流行的攻擊方式，它并不取得服務(wù)器權(quán)限，而是使服務(wù)器崩潰或失去響應(yīng)。對Linux的拒絕服務(wù)大多數(shù)都無須登錄即可對系統(tǒng)發(fā)起拒絕服務(wù)攻擊，使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力，這種方式屬于利用系統(tǒng)本身漏洞或其守護(hù)進(jìn)程缺陷及不正確設(shè)置進(jìn)行攻擊。


另外一種情況，攻擊者登錄到Linux系統(tǒng)后，利用這類漏洞，也可以使系統(tǒng)本身或應(yīng)用程序崩潰。這種漏洞主要由程序?qū)σ馔馇闆r的處理失誤引起，如寫臨時文件之前不檢查文件是否存在，盲目跟隨鏈接等。


下面，我們簡單描述一下Linux在處理intel IA386 CPU中的寄存器時發(fā)生錯誤而產(chǎn)生的拒絕服務(wù)漏洞。該漏洞是因?yàn)镮A386多媒體指令使用的寄存器MXCSR的特性導(dǎo)致的。由于IA386 CPU規(guī)定MXCSR寄存器的高16位不能有任何位被置位，否則CPU就會報(bào)錯導(dǎo)致系統(tǒng)崩潰。為了保證系統(tǒng)正常運(yùn)轉(zhuǎn)，在linux系統(tǒng)中有一段代碼專門對MXCSR的這個特性作處理，而這一段代碼在特定的情況下會出現(xiàn)錯誤，導(dǎo)致MXCSR中的高16位沒有被清零，使系統(tǒng)崩潰。如果攻擊者制造了這種“極限”的內(nèi)存情況就會對系統(tǒng)產(chǎn)生DoS效果。


攻擊者通過調(diào)用get_fpxregs函數(shù)可以讀取多媒體寄存器至用戶空間，這樣用戶就可以取得MXCSR寄存器的值。調(diào)用set_fpxregs函數(shù)可以使用用戶空間提供的數(shù)據(jù)對MXCSR寄存器進(jìn)行賦值。通過對MXCSR的高16位進(jìn)行清0，就保證了IA386 CPU的這個特性。如果產(chǎn)生一種極限效果使程序跳過這一行，使MXCSR寄存器的高16位沒有被清0，一旦MXCSR寄存器的高16位有任何位被置位，系統(tǒng)就會立即崩潰！


因?yàn)槔眠@個漏洞攻擊者還需要登錄到系統(tǒng)，這個漏洞也不能使攻擊者提升權(quán)限，只能達(dá)到DoS的效果，所以這個漏洞的危害還是比較小的。但是分析這個漏洞就沒有意義了嗎？其實(shí)由分析這個漏洞可以看出：Linux內(nèi)核開發(fā)成員對這種內(nèi)存拷貝時出現(xiàn)錯誤的情況沒有進(jìn)行考慮，以至造成了這個漏洞，分析了解了這個漏洞后，在漏洞挖掘方面也出現(xiàn)了一種新的類型，使我們在以后的開發(fā)中可以盡量避免這種情況。


接下來讓我們看一種Linux內(nèi)核算法上出現(xiàn)的漏洞。先來簡單介紹一下這個漏洞，當(dāng)Linux系統(tǒng)接收到攻擊者經(jīng)過特殊構(gòu)造的包后，會引起hash表產(chǎn)生沖突導(dǎo)致服務(wù)器資源被耗盡。這里所說的hash沖突就是指：許多數(shù)值經(jīng)過某種hash算法運(yùn)算以后得出的值相同，并且這些值都被儲存在同一個hash槽內(nèi)，這就使hash表變成了一個單向鏈表。而對此hash表的插入操作會從原來的復(fù)雜度O(n)變?yōu)镺(n*n)。這樣就會導(dǎo)致系統(tǒng)消耗巨大的cpu資源，從而產(chǎn)生了DoS攻擊效果。

我們先看一下在linux中使用的hash算法，這個算法用在對Linux route catch的索引與分片重組的操作中。在今年五月Rice University計(jì)算機(jī)科學(xué)系的Scott A. Crosby與Dan S. Wallach提出了一種新的低帶寬的DoS攻擊方法，即針對應(yīng)用程序所使用的hash算法的脆弱性進(jìn)行攻擊。這種方法提出：如果應(yīng)用程序使用的hash算法存在弱點(diǎn)，也就是說hash算法不能有效地把數(shù)據(jù)進(jìn)行散列，攻擊者就可以通過構(gòu)造特殊的值使hash算法產(chǎn)生沖突引起DoS攻擊。


202

203 static __inline__ unsigned rt_hash_code(u32 daddr, u32 saddr, u8 tos)

204 {

205 unsigned hash = ((daddr & 0xF0F0F0F0) >> 4) │

206 ((daddr & 0x0F0F0F0F) << 4);

207 hash ^= saddr ^ tos;

208 hash ^= (hash >> 16);

209 return (hash ^ (hash >> 8)) & rt_hash_mask;

210 }


以上的代碼就是Linux對ip包進(jìn)行路由或者重組時使用的算法。此算法由于過于簡單而不能把route緩存進(jìn)行有效的散列，從而產(chǎn)生了DoS漏洞。下面我們來分析一下此函數(shù)。


203行為此函數(shù)的函數(shù)名與入口參數(shù)，u32 daddr為32位的目的地址，而u32 saddr為32位的原地址，tos為協(xié)議。

205行-206行是把目標(biāo)地址前后字節(jié)進(jìn)行轉(zhuǎn)換。

207行把原地址與tos進(jìn)行異或后再與hash異或然后再賦值給hash。

208行把hash的值向右偏移16位然后與hash異或再賦值給hash。

209行是此函數(shù)返回hash與它本身向右偏移8位的值異或，然后再跟rt_hash_mask進(jìn)行與操作的值。


這種攻擊是一種較為少見的拒絕服務(wù)方式，因?yàn)樗昧讼到y(tǒng)本身的算法中的漏洞。該漏洞也代表了一種新的漏洞發(fā)掘的方向，就是針對應(yīng)用軟件或者系統(tǒng)使用的hash算法進(jìn)行漏洞挖掘。因此，這種針對hash表攻擊的方法對不僅對Linux，而且會對很多應(yīng)用軟件產(chǎn)生影響，比如說Perl5在這個perl的版本中使用的hash算法就容易使攻擊者利用精心篩選的數(shù)據(jù)，使用perl5進(jìn)行編程的應(yīng)用程序使用的hash表產(chǎn)生hash沖突，包括一些代理服務(wù)器軟件，甚至一些IDS軟件，防火墻等，因使用的是Linux內(nèi)核都會被此種攻擊影響。



Linux內(nèi)核中的整數(shù)溢出漏洞


Linux Kernel 2.4 NFSv3 XDR處理器例程遠(yuǎn)程拒絕服務(wù)漏洞在2003年7月29日公布,影響Linux Kernel 2.4.21以下的所有Linux內(nèi)核版本。


該漏洞存在于XDR處理器例程中，相關(guān)內(nèi)核源代碼文件為nfs3xdr.c. 此漏洞是由于一個整形漏洞引起的（正數(shù)/負(fù)數(shù)不匹配）。攻擊者可以構(gòu)造一個特殊的XDR頭（通過設(shè)置變量int size為負(fù)數(shù)）發(fā)送給Linux系統(tǒng)即可觸發(fā)此漏洞。當(dāng)Linux系統(tǒng)的NFSv3 XDR處理程序收到這個被特殊構(gòu)造的包時，程序中的檢測語句會錯誤地判斷包的大小，從而在內(nèi)核中拷貝巨大的內(nèi)存，導(dǎo)致內(nèi)核數(shù)據(jù)被破壞，致使Linux系統(tǒng)崩潰。


漏洞代碼：

static inline u32 *

decode_fh(u32 *p, struct svc_fh *fhp)

{

int size;

fh_init(fhp, NFS3_FHSIZE);

size = ntohl(*p++);

if (size > NFS3_FHSIZE)

return NULL;


memcpy(&fhp->fh_handle.fh_base, p, size); fhp->fh_handle.fh_size = size;

return p + XDR_QUADLEN(size);

}


因?yàn)榇藘?nèi)存拷貝時在內(nèi)核內(nèi)存區(qū)域中進(jìn)行，會破壞內(nèi)核中的數(shù)據(jù)導(dǎo)致內(nèi)核崩潰，所以此漏洞并沒有證實(shí)可以用來遠(yuǎn)程獲取權(quán)限，而且利用此漏洞時攻擊者必須可以mount此系統(tǒng)上的目錄，更為利用此漏洞增加了困難。

我們的目的在于通過這個漏洞的特點(diǎn)來尋找此種類型的漏洞并更好地修補(bǔ)它。大家可以看到，該漏洞是一個非常典型的整數(shù)溢出漏洞，如果在內(nèi)核中存在這樣的漏洞是非常危險(xiǎn)的。所以Linux的內(nèi)核開發(fā)人員對Linux內(nèi)核中關(guān)于數(shù)據(jù)大小的變量都作了處理（使用了unsigned int），這樣就避免了再次出現(xiàn)這種典型的整數(shù)溢出。通過對這種特別典型的漏洞原理進(jìn)行分析，開發(fā)人員可以在以后的開發(fā)中避免出現(xiàn)這種漏洞。



IP地址欺騙類漏洞


由于tcp/ip本身的缺陷，導(dǎo)致很多操作系統(tǒng)都存在tcp/ip堆棧漏洞，使攻擊者進(jìn)行ip地址欺騙非常容易實(shí)現(xiàn)。Linux也不例外。雖然IP地址欺騙不會對Linux服務(wù)器本身造成很嚴(yán)重的影響，但是對很多利用Linux為操作系統(tǒng)的防火墻和IDS產(chǎn)品來說，這個漏洞卻是致命的。


IP地址欺騙是很多攻擊的基礎(chǔ)，之所以使用這個方法，是因?yàn)镮P自身的缺點(diǎn)。IP協(xié)議依據(jù)IP頭中的目的地址項(xiàng)來發(fā)送IP數(shù)據(jù)包。如果目的地址是本地網(wǎng)絡(luò)內(nèi)的地址，該IP包就被直接發(fā)送到目的地。如果目的地址不在本地網(wǎng)絡(luò)內(nèi)，該IP包就會被發(fā)送到網(wǎng)關(guān)，再由網(wǎng)關(guān)決定將其發(fā)送到何處。這是IP路由IP包的方法。IP路由IP包時對IP頭中提供的IP源地址不做任何檢查，認(rèn)為IP頭中的IP源地址即為發(fā)送該包的機(jī)器的IP地址。當(dāng)接收到該包的目的主機(jī)要與源主機(jī)進(jìn)行通信時，它以接收到的IP包的IP頭中IP源地址作為其發(fā)送的IP包的目的地址，來與源主機(jī)進(jìn)行數(shù)據(jù)通信。IP的這種數(shù)據(jù)通信方式雖然非常簡單和高效，但它同時也是IP的一個安全隱患，很多網(wǎng)絡(luò)安全事故都是由IP的這個缺點(diǎn)而引發(fā)的。


黑客或入侵者利用偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來自內(nèi)部站的分組過濾器，這種類型的攻擊是非常危險(xiǎn)的。關(guān)于涉及到的分組真正是內(nèi)部的，還是外部的分組被包裝得看起來像內(nèi)部分組的種種跡象都已喪失殆盡。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在自己的范圍之內(nèi)，就把該分組按內(nèi)部通信對待并讓其通過。


通常主機(jī)A與主機(jī)B的TCP連接是通過主機(jī)A向主機(jī)B提出請求建立起來的，而其間A和B的確認(rèn)僅僅根據(jù)由主機(jī)A產(chǎn)生并經(jīng)主機(jī)B驗(yàn)證的初始序列號ISN。具體分三個步驟。


主機(jī)A產(chǎn)生它的ISN，傳送給主機(jī)B，請求建立連接；B接收到來自A的帶有SYN標(biāo)志的ISN后，將自己本身的ISN連同應(yīng)答信息ACK一同返回給A；A再將B傳送來的ISN及應(yīng)答信息ACK返回給B。至此，正常情況下，主機(jī)A與B的TCP連接就建立起來了。


B ---- SYN ----> A

B <---- SYN+ACK ---- A

B ---- ACK ----> A


假設(shè)C企圖攻擊A，因?yàn)锳和B是相互信任的，如果C已經(jīng)知道了被A信任的B，那么就要想辦法使得B的網(wǎng)絡(luò)功能癱瘓，防止別的東西干擾自己的攻擊。在這里普遍使用的是SYN flood。攻擊者向被攻擊主機(jī)發(fā)送許多TCP- SYN包。這些TCP-SYN包的源地址并不是攻擊者所在主機(jī)的IP地址，而是攻擊者自己填入的IP地址。當(dāng)被攻擊主機(jī)接收到攻擊者發(fā)送來的TCP-SYN包后，會為一個TCP連接分配一定的資源，并且會以接收到的數(shù)據(jù)包中的源地址（即攻擊者自己偽造的IP地址）為目的地址向目的主機(jī)發(fā)送TCP-（SYN+ACK）應(yīng)答包。由于攻擊者自己偽造的IP地址一定是精心選擇的不存在的地址，所以被攻擊主機(jī)永遠(yuǎn)也不可能收到它發(fā)送出去的TCP-（SYN+ACK）包的應(yīng)答包，因而被攻擊主機(jī)的TCP狀態(tài)機(jī)處于等待狀態(tài)。如果被攻擊主機(jī)的TCP狀態(tài)機(jī)有超時控制的話，直到超時，為該連接分配的資源才會被回收。因此如果攻擊者向被攻擊主機(jī)發(fā)送足夠多的TCP-SYN包，并且足夠快，被攻擊主機(jī)的TCP模塊肯定會因?yàn)闊o法為新的TCP連接分配到系統(tǒng)資源而處于服務(wù)拒絕狀態(tài)。即使被攻擊主機(jī)所在網(wǎng)絡(luò)的管理員監(jiān)聽到了攻擊者的數(shù)據(jù)包也無法依據(jù)IP頭的源地址信息判定攻擊者是誰。


當(dāng)B的網(wǎng)絡(luò)功能暫時癱瘓時， C必須想方設(shè)法確定A當(dāng)前的ISN。首先連向25端口，因?yàn)镾MTP是沒有安全校驗(yàn)機(jī)制的，與前面類似，不過這次需要記錄A的ISN，以及C到A的大致的RTT(round trip time)。這個步驟要重復(fù)多次以便求出RTT的平均值。一旦C知道了A的ISN基值和增加規(guī)律，就可以計(jì)算出從C到A需要RTT/2 的時間。然后立即進(jìn)入攻擊，否則在這之間有其他主機(jī)與A連接，ISN將比預(yù)料的多。


C向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請求連接，只是信源IP改成了B。A向B回送SYN+ACK數(shù)據(jù)段，B已經(jīng)無法響應(yīng)，B的TCP層只是簡單地丟棄A的回送數(shù)據(jù)段。這個時候C需要暫停一小會兒，讓A有足夠時間發(fā)送SYN+ACK，因?yàn)镃看不到這個包。然后C再次偽裝成B向A發(fā)送ACK，此時發(fā)送的數(shù)據(jù)段帶有C預(yù)測的A的ISN+1。如果預(yù)測準(zhǔn)確，連接建立，數(shù)據(jù)傳送開始。問題在于即使連接建立，A仍然會向B發(fā)送數(shù)據(jù)，而不是C，C仍然無法看到A發(fā)往B的數(shù)據(jù)段，C必須蒙著頭按照協(xié)議標(biāo)準(zhǔn)假冒B向A發(fā)送命令，于是攻擊完成。如果預(yù)測不準(zhǔn)確，A將發(fā)送一個帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接，C只有從頭再來。隨著不斷地糾正預(yù)測的ISN，攻擊者最終會與目標(biāo)主機(jī)建立一個會晤。通過這種方式，攻擊者以合法用戶的身份登錄到目標(biāo)主機(jī)而不需進(jìn)一步的確認(rèn)。如果反復(fù)試驗(yàn)使得目標(biāo)主機(jī)能夠接收對網(wǎng)絡(luò)的ROOT登錄，那么就可以完全控制整個網(wǎng)絡(luò)。


C(B) ---- SYN ----> A

B <---- SYN+ACK ---- A

C(B) ---- ACK ----> A

C(B) ---- PSH ----> A


IP欺騙攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗(yàn)的特性，攻擊最困難的地方在于預(yù)測A的ISN。攻擊難度比較大，但成功的可能性也很大。C必須精確地預(yù)見可能從A發(fā)往B的信息，以及A期待來自B的什么應(yīng)答信息，這要求攻擊者對協(xié)議本身相當(dāng)熟悉。同時需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。當(dāng)然在準(zhǔn)備階段可以用netxray之類的工具進(jìn)行協(xié)議分析。



總 結(jié)


通過分析上面的幾個漏洞大家也可以看到Linux并不是完美的，還有很多的地方需要完善。有些漏洞極大地影響了Linux的推廣和使用，例如上面那個Linux hash表沖突的漏洞，因?yàn)橐恍㊣DS廠商和防火墻廠商就是基于Linux內(nèi)核來開發(fā)自己的產(chǎn)品，如果還是使用的Linux本身的hash算法就會受到這種漏洞的影響，極易被攻擊者進(jìn)行DoS攻擊。因?yàn)榉阑饓?、IDS本身就是安全產(chǎn)品，如果它們被攻擊就會使用戶產(chǎn)生極大的損失，所以我們需要對這些漏洞進(jìn)行跟蹤分析，并通過了解它們的特性以避免在系統(tǒng)中再次產(chǎn)生這些類型的漏洞，通過對這些類型的漏洞進(jìn)行預(yù)測挖掘，使我們能積極地防御黑客的攻擊破壞。


作者簡介


趙偉 2003年就職于啟明星辰積極防御實(shí)驗(yàn)室，SST成員，國家計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急小組（CNCERT/CC）成員。主要研究方向：Unix/Linux漏洞挖掘，Unix/Linux應(yīng)用系統(tǒng)安全，Linux內(nèi)核漏洞挖掘，Linux HIDS的開發(fā)和事件研究，XML相關(guān)安全。參與過多項(xiàng)計(jì)算機(jī)犯罪取證，計(jì)算機(jī)容災(zāi)系統(tǒng)等相關(guān)的國家項(xiàng)目與863項(xiàng)目。

最新評論