Araştırmacılar, Linux HFSC kuyruğu disiplinde daha önce bilinmeyen bir kullanımdan bağımsız (UAF) kırılganlık olan CVE-2025-38001’den yararlandı-tüm Google Kernelctf örneklerini (LTS, COS ve hafifletme) ve tamamen yamalı Debian 12 sistemlerini tehlikeye attılar.
Çalışmaları, kümülatif ödüllerde tahmini 82.000 dolarlık bir netleşti ve otomatik bulanıklaştırmanın ötesinde derinlemesine kod denetiminin devam eden öneminin altını çiziyor.
Key Takeaways
1. NETEM’s packet duplication bug in HFSC qdisc plus TBF rate-limiting turned an infinite RBTree loop into a reliable Use-After-Free.
2. An RBTree pointer-copy trick caused a page-UAF and arbitrary write.
3. Root achieved on Debian 12 and all Google kernelCTF instances; fix available.
Linux Çekirdek Kök İstismarı
Araştırmacılar D3VIL ve FizzBuzz101’e göre, istismar, bir sınıfın Netem Qdisc’in paket kopya özelliği ile birlikte kullanıldığında HFSC “uygun” rbtree’ye iki kez yerleştirilmesine izin veren HFSC_enqueue () ‘deki mantık kusuruna dayanır:
Netem’in yinelenen seçeneği, hfsc_enqueue () ‘e yeniden giriş çağrısını tetikler, bu da init_ed ()’ nin iki kez çalışmasına ve siklik bir rbTree oluşturmasına neden olur.
Normalde, HFSC_Dequeue () ‘deki sonuçta ortaya çıkan sonsuz döngü çekirdeğe asacaktı, ancak bir TBF QDISC’i kökte son derece düşük bir oranla istifleyerek, araştırmacılar yeni bir sınıf yerleştirildiğinde sınıfı serbest bırakacak ve bir UAF tetikleyecek kadar uzun süredir devam ettirdiler.
UAF’den yararlanmak, kontrollü RBTREE dönüşümlerine dayanan yenilikçi bir işaretçi kopyası ilkel gerektiriyordu.
Yinelenen sınıf düğümünü serbest bıraktıktan ve belleğini bir paket halkanın sayfa vektörü (PGV) ile kapladıktan sonra, ekip eltree_insert (), eltree_remove () ve linux rbTree yeniden dengeleme rutinlerini kullandı (__rb_insert () ve __rb_erase_augment () bir page pointer’dan () diğerinden kopyalayın. Sıra:
- Tetikleyici Çift Ekleme ve Serbest Sınıf 2: 1.
- Freed yuvasına iki sayfalık vektör püskürtün, RBTREE düğümlerini kullanıcı kontrollü sayfalara işaret etmek için oluşturun.
- EL_NODE adresini sızdırmak için Sınıf 2: 2’yi ekleyin.
- Saldırgan kontrolündeki sayfaya bir işaretçi ile bir hedef sayfa vektörünün ilk girişini yeniden dengelemek ve üzerine yazmak ve üzerine yazmak için Sınıf 2: 2’yi güncelleyin.
- Page-UAF vererek, işaretçiyi kurban PGV’ye RB_ERASE () üzerinden yaymak için Sınıf 2: 2’yi silin.
Page-UAF kurulduktan sonra, packet_mmap () üzerinden yeniden ele geçirme ve kontrollü kaldırma (munmap ()), saldırganların paylaşılan sayfayı erken serbest bırakmasına izin verdi.
Freed Page’ın SignalFD dosya yapılarıyla hızlı bir şekilde yeniden kullanılması, hem Debian 12 hem de çeşitli Kernelctf ortamlarında kök veren kimlik bilgisi üzerine yazmalarla sonuçlanan keyfi yazma ilkellerini sağladı.
Bu istismar, çekirdek QDISC’lerde ince mantık gözetimlerinin bile, klasik ROP zincirlerine güvenmeden güçlü UAF ve sadece veri saldırılarına yol açabileceğini vurgular.
Güvenlik açığı AC9FE7DD8E730A103AE4481147395CC73492D786’da yamalandı ve CVE-2025-38001 atandı.
Çekirdek koruyucular ve dağıtım satıcılarının düzeltmenin zamanında dağıtılmasını sağlamaları istenirken, araştırmacılar benzer şekilde sofistike istismarları önlemek için otomatik bulanmayı manuel kod incelemeleriyle, özellikle trafik kontrolü gibi karmaşık alt sistemlerde tamamlamaya devam etmelidir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches