Nueva forma de hacer hardening en el Linux Kernel
AS-034-2023
Fecha: 12/May/2023
Resumen:
Esta nueva herramienta denominada Buzzer , es un marco de eBPF Fuzzing que tiene como objetivo ayudar a fortalecer el kernel de Linux.
¿Qué es eBPF y cómo verifica la seguridad?
eBPF es una tecnología que permite a los desarrolladores y administradores de sistemas ejecutar fácilmente programas en un contexto privilegiado, como el núcleo de un sistema operativo.
Si bien existen muchas soluciones para eliminar vulnerabilidades en el kernel de Linux, no necesariamente se adaptan a las características únicas de eBPF. En particular, eBPF tiene muchas reglas de seguridad complejas que los programas deben seguir para que se consideren válidos y seguros. Estas reglas son aplicadas por un componente de eBPF denominado "verifier".
El equipo de seguridad en Google decidió crear un nuevo marco fuzzer que tiene como objetivo probar los límites del verificador eBPF mediante la generación de programas eBPF.
Es con esta técnica que Buzzer encontró su primer problema, CVE-2023-2163 , un error en la lógica de poda de ramas del verificador eBPF que puede hacer que se pasen por alto rutas inseguras, lo que lleva a lecturas y escrituras arbitrarias de la memoria del kernel. Este problema demuestra no solo la complejidad de la tarea que el verificador intenta realizar (para asegurarse de que un programa sea seguro de manera eficiente), sino también cómo Buzzer puede ayudar a los investigadores a descubrir errores complejos al explorar automáticamente los casos extremos en la lógica del verificador.
Referencias:
https://security.googleblog.com/2023/05/introducing-new-way-to-buzz-for-ebpf.html
