與Windows相比,Linux被認為具有更好的安全性和其他擴展性能。這些特性使得Linux在操作系統領域異軍突起,得到越來越多的重視。隨著Linux應用量的增加,其安全性也逐漸受到了公眾甚或黑客的關注。那麼,Linux是否真的如其支持廠商們所宣稱的那樣安全呢?本期我們請到了啟明星辰信息技術有限公司積極防御實驗室工程師趙偉,對Linux進行專業的漏洞技術分析。
Linux內核精短、穩定性高、可擴展性好、硬件需求低、免費、網絡功能豐富、適用於多種cpu等特性,使之在操作系統領域異軍突起。其獨特的魅力使它不僅在pc機上占據一定的份額,而且越來越多地被使用在各種嵌入式設備中,並被當作專業的路由器,防火牆,或者高端的服務器OS來使用。各種類型的Linux發行版本也如雨後春筍般冒了出來,國內更是掀起了Linux的使用熱潮,很多政府部門因安全需要也被要求使用Linux。正是因為Linux被越來越多地使用,其安全性也漸漸受到了公眾的關注,當然,也更多地受到了黑客的關注。通常,我們討論Linux系統安全都是從Linux安全配置的角度或者Linux的安全特性等方面來討論的,而這一次我們轉換一下視角,從Linux系統中存在的漏洞與這些漏洞產生的影響來討論Linux的安全性。
首先來說明一下這次我們討論Linux系統安全的范圍,其實通常我們所說的Linux是指GNU/Linux系統,Linux是系統中使用的操作系統內核。這一次我們重點從Linux系統內核中存在的幾類非常有特點的漏洞來討論Linux系統的安全性。
權限提升類漏洞
一般來說,利用系統上一些程序的邏輯缺陷或緩沖區溢出的手段,攻擊者很容易在本地獲得Linux服務器上管理員權限root;在一些遠程的情況下,攻擊者會利用一些以root身份執行的有缺陷的系統守護進程來取得root權限,或利用有缺陷的服務進程漏洞來取得普通用戶權限用以遠程登錄服務器。目前很多Linux服務器都用關閉各種不需要的服務和進程的方式來提升自身的安全性,但是只要這個服務器上運行著某些服務,攻擊者就可以找到權限提升的途徑。下面是一個比較新的導致權限提升的漏洞。
do_brk()邊界檢查不充分漏洞在2003年9月份被Linux內核開發人員發現,並在9月底發布的Linux kernel 2.6.0-test6中對其進行了修補。但是Linux內核開發人員並沒有意識到此漏洞的威脅,所以沒有做任何通報,一些安全專家與黑客卻看到了此漏洞蘊涵的巨大威力。在2003年11月黑客利用rsync中一個未公開的堆溢出與此漏洞配合,成功地攻擊了多台Debian與Gentoo Linux的服務器。
下面讓我們簡單描述一下該漏洞。該漏洞被發現於brk系統調用中。brk系統調用可以對用戶進程的堆的大小進行操作,使堆擴展或者縮小。而brk內部就是直接使用do_brk()函數來做具體的操作, do_brk()函數在調整進程堆的大小時既沒有對參數len進行任何檢查(不檢查大小也不檢查正負),也沒有對addr+len是否超過TASK_SIZE做檢查。這樣我們就可以向它提交任意大小的參數len,使用戶進程的大小任意改變以至可以超過TASK_SIZE的限制,使系統認為內核范圍的內存空間也是可以被用戶訪問的,這樣的話普通用戶就可以訪問到內核的內存區域。通過一定的操作,攻擊者就可以獲得管理員權限。這個漏洞極其危險,利用這個漏洞可以使攻擊者直接對內核區域操作,可以繞過很多Linux系統下的安全保護模塊。
此漏洞的發現提出了一種新的漏洞概念,即通過擴展用戶的內存空間到系統內核的內存空間來提升權限。當發現這種漏洞時,通過研究我們就認為內核中一定還會存在類似的漏洞,果然幾個月後黑客們又在Linux內核中發現與brk相似的漏洞。通過這次成功的預測,更證實了對這種新型的概念型漏洞進行研究很有助於安全人員在系統中發現新的漏洞。
拒絕服務類漏洞
拒絕服務攻擊是目前比較流行的攻擊方式,它並不取得服務器權限,而是使服務器崩潰或失去響應。對Linux的拒絕服務大多數都無須登錄即可對系統發起拒絕服務攻擊,使系統或相關的應用程序崩潰或失去響應能力,這種方式屬於利用系統本身漏洞或其守護進程缺陷及不正確設置進行攻擊。
另外一種情況,攻擊者登錄到Linux系統後,利用這類漏洞,也可以使系統本身或應用程序崩潰。這種漏洞主要由程序對意外情況的處理失誤引起,如寫臨時文件之前不檢查文件是否存在,盲目跟隨鏈接等。
下面,我們簡單描述一下Linux在處理intel IA386 CPU中的寄存器時發生錯誤而產生的拒絕服務漏洞。該漏洞是因為IA386多媒體指令使用的寄存器MXCSR的特性導致的。由於IA386 CPU規定MXCSR寄存器的高16位不能有任何位被置位,否則CPU就會報錯導致系統崩潰。為了保證系統正常運轉,在linux系統中有一段代碼專門對MXCSR的這個特性作處理,而這一段代碼在特定的情況下會出現錯誤,導致MXCSR中的高16位沒有被清零,使系統崩潰。如果攻擊者制造了這種“極限”的內存情況就會對系統產生DoS效果。
攻擊者通過調用get_fpxregs函數可以讀取多媒體寄存器至用戶空間,這樣用戶就可以取得MXCSR寄存器的值。調用set_fpxregs函數可以使用用戶空間提供的數據對MXCSR寄存器進行賦值。通過對MXCSR的高16位進行清0,就保證了IA386 CPU的這個特性。如果產生一種極限效果使程序跳過這一行,使MXCSR寄存器的高16位沒有被清0,一旦MXCSR寄存器的高16位有任何位被置位,系統就會立即崩潰!
因為利用這個漏洞攻擊者還需要登錄到系統,這個漏洞也不能使攻擊者提升權限,只能達到DoS的效果,所以這個漏洞的危害還是比較小的。但是分析這個漏洞就沒有意義了嗎?其實由分析這個漏洞可以看出:Linux內核開發成員對這種內存拷貝時出現錯誤的情況沒有進行考慮,以至造成了這個漏洞,分析了解了這個漏洞後,在漏洞挖掘方面也出現了一種新的類型,使我們在以後的開發中可以盡量避免這種情況。
接下來讓我們看一種Linux內核算法上出現的漏洞。先來簡單介紹一下這個漏洞,當Linux系統接收到攻擊者經過特殊構造的包後,會引起hash表產生沖突導致服務器資源被耗盡。這裡所說的hash沖突就是指:許多數值經過某種hash算法運算以後得出的值相同,並且這些值都被儲存在同一個hash槽內,這就使hash表變成了一個單向鏈表。而對此hash表的插入操作會從原來的復雜度O(n)變為O(n*n)。這樣就會導致系統消耗巨大的cpu資源,從而產生了DoS攻擊效果。
我們先看一下在linux中使用的hash算法,這個算法用在對Linux route catch的索引與分片重組的操作中。在今年五月Rice University計算機科學系的Scott A. Crosby與Dan S. Wallach提出了一種新的低帶寬的DoS攻擊方法,即針對應用程序所使用的hash算法的脆弱性進行攻擊。這種方法提出:如果應用程序使用的hash算法存在弱點,也就是說hash算法不能有效地把數據進行散列,攻擊者就可以通過構造特殊的值使hash算法產生沖突引起DoS攻擊。
202
203 static __inline__ unsigned rt_hash_code(u32 daddr, u32 saddr, u8 tos)
204 {
205 unsigned hash = ((daddr & 0xF0F0F0F0) >> 4) │
206 ((daddr & 0x0F0F0F0F) << 4);
207 hash ^= saddr ^ tos;
208 hash ^= (hash >> 16);
209 return (hash ^ (hash >> 8)) & rt_hash_mask;
210 }
以上的代碼就是Linux對ip包進行路由或者重組時使用的算法。此算法由於過於簡單而不能把route緩存進行有效的散列,從而產生了DoS漏洞。下面我們來分析一下此函數。
203行為此函數的函數名與入口參數,u32 daddr為32位的目的地址,而u32 saddr為32位的原地址,tos為協議。
205行-206行是把目標地址前後字節進行轉換。
207行把原地址與tos進行異或後再與hash異或然後再賦值給hash。
208行把hash的值向右偏移16位然後與hash異或再賦值給hash。
209行是此函數返回hash與它本身向右偏移8位的值異或,然後再跟rt_hash_mask進行與操作的值。
這種攻擊是一種較為少見的拒絕服務方式,因為它利用了系統本身的算法中的漏洞。該漏洞也代表了一種新的漏洞發掘的方向,就是針對應用軟件或者系統使用的hash算法進行漏洞挖掘。因此,這種針對hash表攻擊的方法對不僅對Linux,而且會對很多應用軟件產生影響,比如說Perl5在這個perl的版本中使用的hash算法就容易使攻擊者利用精心篩選的數據,使用perl5進行編程的應用程序使用的hash表產生hash沖突,包括一些代理服務器軟件,甚至一些IDS軟件,防火牆等,因使用的是Linux內核都會被此種攻擊影響。
Linux內核中的整數溢出漏洞
Linux Kernel 2.4 NFSv3 XDR處理器例程遠程拒絕服務漏洞在2003年7月29日公布,影響Linux Kernel 2.4.21以下的所有Linux內核版本。
該漏洞存在於XDR處理器例程中,相關內核源代碼文件為nfs3xdr.c. 此漏洞是由於一個整形漏洞引起的(正數/負數不匹配)。攻擊者可以構造一個特殊的XDR頭(通過設置變量int size為負數)發送給Linux系統即可觸發此漏洞。當Linux系統的NFSv3 XDR處理程序收到這個被特殊構造的包時,程序中的檢測語句會錯誤地判斷包的大小,從而在內核中拷貝巨大的內存,導致內核數據被破壞,致使Linux系統崩潰。
漏洞代碼:
static inline u32 *
decode_fh(u32 *p, strUCt svc_fh *fhp)
{
int size;
fh_init(fhp, NFS3_FHSIZE);
size = ntohl(*p++);
if (size > NFS3_FHSIZE)
return NULL;
memcpy(&fhp->fh_handle.fh_base, p, size); fhp->fh_handle.fh_size = size;
return p + XDR_QUADLEN(size);
}
因為此內存拷貝時在內核內存區域中進行,會破壞內核中的數據導致內核崩潰,所以此漏洞並沒有證實可以用來遠程獲取權限,而且利用此漏洞時攻擊者必須可以mount此系統上的目錄,更為利用此漏洞增加了困難。
我們的目的在於通過這個漏洞的特點來尋找此種類型的漏洞並更好地修補它。大家可以看到,該漏洞是一個非常典型的整數溢出漏洞,如果在內核中存在這樣的漏洞是非常危險的。所以Linux的內核開發人員對Linux內核中關於數據大小的變量都作了處理(使用了unsigned int),這樣就避免了再次出現這種典型的整數溢出。通過對這種特別典型的漏洞原理進行分析,開發人員可以在以後的開發中避免出現這種漏洞。
IP地址欺騙類漏洞
由於tcp/ip本身的缺陷,導致很多操作系統都存在tcp/ip堆棧漏洞,使攻擊者進行ip地址欺騙非常容易實現。Linux也不例外。雖然IP地址欺騙不會對Linux服務器本身造成很嚴重的影響,但是對很多利用Linux為操作系統的防火牆和IDS產品來說,這個漏洞卻是致命的。
IP地址欺騙是很多攻擊的基礎,之所以使用這個方法,是因為IP自身的缺點。IP協議依據IP頭中的目的地址項來發送IP數據包。如果目的地址是本地網絡內的地址,該IP包就被直接發送到目的地。如果目的地址不在本地網絡內,該IP包就會被發送到網關,再由網關決定將其發送到何處。這是IP路由IP包的方法。IP路由IP包時對IP頭中提供的IP源地址不做任何檢查,認為IP頭中的IP源地址即為發送該包的機器的IP地址。當接收到該包的目的主機要與源主機進行通信時,它以接收到的IP包的IP頭中IP源地址作為其發送的IP包的目的地址,來與源主機進行數據通信。IP的這種數據通信方式雖然非常簡單和高效,但它同時也是IP的一個安全隱患,很多網絡安全事故都是由IP的這個缺點而引發的。
黑客或入侵者利用偽造的IP發送地址產生虛假的數據分組,喬裝成來自內部站的分組過濾器,這種類型的攻擊是非常危險的。關於涉及到的分組真正是內部的,還是外部的分組被包裝得看起來像內部分組的種種跡象都已喪失殆盡。只要系統發現發送地址在自己的范圍之內,就把該分組按內部通信對待並讓其通過。
通常主機A與主機B的TCP連接是通過主機A向主機B提出請求建立起來的,而其間A和B的確認僅僅根據由主機A產生並經主機B驗證的初始序列號ISN。具體分三個步驟。
主機A產生它的ISN,傳送給主機B,請求建立連接;B接收到來自A的帶有SYN標志的ISN後,將自己本身的ISN連同應答信息ACK一同返回給A;A再將B傳送來的ISN及應答信息ACK返回給B。至此,正常情況下,主機A與B的TCP連接就建立起來了。
B ---- SYN ----> A
B <---- SYN+ACK ---- A
B ---- ACK ----> A
假設C企圖攻擊A,因為A和B是相互信任的,如果C已經知道了被A信任的B,那麼就要想辦法使得B的網絡功能癱瘓,防止別的東西干擾自己的攻擊。在這裡普遍使用的是SYN flood。攻擊者向被攻擊主機發送許多TCP- SYN包。這些TCP-SYN包的源地址並不是攻擊者所在主機的IP地址,而是攻擊者自己填入的IP地址。當被攻擊主機接收到攻擊者發送來的TCP-SYN包後,會為一個TCP連接分配一定的資源,並且會以接收到的數據包中的源地址(即攻擊者自己偽造的IP地址)為目的地址向目的主機發送TCP-(SYN+ACK)應答包。由於攻擊者自己偽造的IP地址一定是精心選擇的不存在的地址,所以被攻擊主機永遠也不可能收到它發送出去的TCP-(SYN+ACK)包的應答包,因而被攻擊主機的TCP狀態機處於等待狀態。如果被攻擊主機的TCP狀態機有超時控制的話,直到超時,為該連接分配的資源才會被回收。因此如果攻擊者向被攻擊主機發送足夠多的TCP-SYN包,並且足夠快,被攻擊主機的TCP模塊肯定會因為無法為新的TCP連接分配到系統資源而處於服務拒絕狀態。即使被攻擊主機所在網絡的管理員監聽到了攻擊者的數據包也無法依據IP頭的源地址信息判定攻擊者是誰。
當B的網絡功能暫時癱瘓時, C必須想方設法確定A當前的ISN。首先連向25端口,因為SMTP是沒有安全校驗機制的,與前面類似,不過這次需要記錄A的ISN,以及C到A的大致的RTT(round trip time)。這個步驟要重復多次以便求出RTT的平均值。一旦C知道了A的ISN基值和增加規律,就可以計算出從C到A需要RTT/2 的時間。然後立即進入攻擊,否則在這之間有其他主機與A連接,ISN將比預料的多。
C向A發送帶有SYN標志的數據段請求連接,只是信源IP改成了B。A向B回送SYN+ACK數據段,B已經無法響應,B的TCP層只是簡單地丟棄A的回送數據段。這個時候C需要暫停一小會兒,讓A有足夠時間發送SYN+ACK,因為C看不到這個包。然後C再次偽裝成B向A發送ACK,此時發送的數據段帶有C預測的A的ISN+1。如果預測准確,連接建立,數據傳送開始。問題在於即使連接建立,A仍然會向B發送數據,而不是C,C仍然無法看到A發往B的數據段,C必須蒙著頭按照協議標准假冒B向A發送命令,於是攻擊完成。如果預測不准確,A將發送一個帶有RST標志的數據段異常終止連接,C只有從頭再來。隨著不斷地糾正預測的ISN,攻擊者最終會與目標主機建立一個會晤。通過這種方式,攻擊者以合法用戶的身份登錄到目標主機而不需進一步的確認。如果反復試驗使得目標主機能夠接收對網絡的ROOT登錄,那麼就可以完全控制整個網絡。
C(B) ---- SYN ----> A
B <---- SYN+ACK ---- A
C(B) ---- ACK ----> A
C(B) ---- PSH ----> A
IP欺騙攻擊利用了RPC服務器僅僅依賴於信源IP地址進行安全校驗的特性,攻擊最困難的地方在於預測A的ISN。攻擊難度比較大,但成功的可能性也很大。C必須精確地預見可能從A發往B的信息,以及A期待來自B的什麼應答信息,這要求攻擊者對協議本身相當熟悉。同時需要明白,這種攻擊根本不可能在交互狀態下完成,必須寫程序完成。當然在准備階段可以用netxray之類的工具進行協議分析。
總 結
通過分析上面的幾個漏洞大家也可以看到Linux並不是完美的,還有很多的地方需要完善。有些漏洞極大地影響了Linux的推廣和使用,例如上面那個Linux hash表沖突的漏洞,因為一些IDS廠商和防火牆廠商就是基於Linux內核來開發自己的產品,如果還是使用的Linux本身的hash算法就會受到這種漏洞的影響,極易被攻擊者進行DoS攻擊。因為防火牆、IDS本身就是安全產品,如果它們被攻擊就會使用戶產生極大的損失,所以我們需要對這些漏洞進行跟蹤分析,並通過了解它們的特性以避免在系統中再次產生這些類型的漏洞,通過對這些類型的漏洞進行預測挖掘,使我們能積極地防御黑客的攻擊破壞。
作者簡介
趙偉 2003年就職於啟明星辰積極防御實驗室,SST成員,國家計算機網絡安全事件應急小組(CNCERT/CC)成員。主要研究方向:Unix/Linux漏洞挖掘,Unix/Linux應用系統安全,Linux內核漏洞挖掘,Linux HIDS的開發和事件研究,XML相關安全。參與過多項計算機犯罪取證,計算機容災系統等相關的國家項目與863項目。
