深圳市做网站有哪些公司山西太原网络推广
漏洞技术分析
安全研究员Michael Hoefler最新研究揭示了CVE-2025-21756漏洞的全貌,这是一个影响Linux内核vsock子系统的释放后重用(Use-After-Free,UAF)漏洞。该漏洞源于vsock_remove_sock()函数几行代码的行为修改,最终导致本地权限提升(LPE)和内核代码执行的完整攻击路径。
Hoefler解释道:"当内核中对象的引用计数器归零时,该对象会被释放给对应的内存管理器。理想情况下,在释放vsock对象后,我们可以触发某种UAF来获得更好的攻击原语并提升权限。"
漏洞成因与利用限制
该漏洞的根本原因在于传输重分配期间对套接字绑定状态处理不当。具体而言,vsock代码错误地减少了已解绑套接字的引用计数器,导致vsock对象被过早释放。补丁分析指出:"传输重分配会触发vsock_remove_sock,进而调用vsock_remove_bound错误地减少vsock对象的引用计数器。"这引入了危险的UAF条件,攻击者可利用其获得强大的攻击原语。
初期利用尝试导致内核崩溃,显示AppArmor通过Linux安全模块(LSM)钩子在套接字释放时清除了sk_security指针,阻碍了直接函数指针破坏。Hoefler强调:"内核给了我们一个悬垂指针,但AppArmor确保我们在能利用它之前就会崩溃。"因此,攻击者必须寻找不受AppArmor保护的内核函数继续利用。
绕过防护机制
为绕过内核地址空间布局随机化(kASLR)且不依赖受AppArmor保护的函数,Hoefler转向了不受保护的netlink诊断工具vsock_diag_dump()功能。通过用精心构造的管道缓冲区回收已释放的vsock套接字,并利用vsock_diag_dump作为侧信道,Hoefler暴力破解了有效的skc_net指针,从而绕过kASLR。
Hoefler回忆道:"在陷入困境时,我求助于kernelctf社区,@h0mbre建议使用vsock_diag_dump作为侧信道暴力破解skc_net指针。"这使得攻击者能够以已知内存偏移完全控制悬垂套接字对象。
最终攻击链
为实现代码执行,Hoefler利用了不受AppArmor保护的vsock_release()函数。攻击可劫持sk->sk_prot->close函数指针并转向ROP(面向返回编程)链:"我们最感兴趣的是对sk->sk_prot->close(sk, 0)的调用。由于我们控制着sk,所以需要一个指向函数指针的有效指针。"
最终的ROP链调用commit_creds(init_cred),为攻击者授予root权限并干净地返回用户空间。
图片:Michael Hoefler