Linux: SCSI macht Probleme

SCSI wird kaum noch benutzt, aber die alte Speicherschnittstelle ist immer noch in Linux enthalten und es wurden Sicherheitslücken darin gefunden und behoben. Eines der guten Dinge an Linux ist, dass es so viel alte Hardware unterstützt. Mit ein bisschen Arbeit gibt es fast keine Computer-Hardware, auf der Linux nicht laufen kann. Das ist die gute Nachricht.

Die schlechte Nachricht ist, dass manchmal uralte Sicherheitslücken in alten Programmen gefunden werden können. Das ist der Fall beim Linux Small Computer System Interface (SCSI)-Datentransporttreiber. Ein Trio von Sicherheitslöchern — CVE-2021-27365, CVE-2021-27363 und CVE-2021-27364 — wurde von Forschern der Sicherheitsfirma GRIMM in einer fast vergessenen Ecke des Mainline-Linux-Kernels gefunden.

Die ersten beiden von ihnen haben einen CVSS-Wert (Common Vulnerability Scoring System) von über 7, was hoch ist. Auch wenn Sie vielleicht schon lange kein SCSI- oder iSCSI-Laufwerk mehr haben, sind diese 15 Jahre alten Fehler immer noch vorhanden. Einer von ihnen könnte für einen Angriff mit lokaler Privilegieneskalation (LPE) verwendet werden. Mit anderen Worten, ein normaler Anwender könnte sie benutzen, um zum Root-User zu werden.

Adam Nichols, Principal of Software Security bei GRIMM, erklärt: „Diese Probleme machen die Auswirkungen einer aus der Ferne ausnutzbaren Schwachstelle noch gravierender. Unternehmen, die öffentlich zugängliche Server betreiben, sind am meisten gefährdet.“

Es stimmt, dass der verwundbare SCSI-Code auf den meisten Desktop-Distributionen standardmäßig nicht geladen ist. Aber auf Linux-Servern sieht es anders aus. Wenn Ihr Server RDMA (Remote Direct Memory Access) benötigt, eine Netzwerktechnologie mit hohem Durchsatz und niedriger Latenz, wird er wahrscheinlich das Linux-Kernelmodul rdma-core automatisch laden, was den anfälligen SCSI-Code mit sich bringt.

Das Ausnutzen der Lücke ist nicht einfach, aber GRIMM hat einen Proof of Concept Exploit veröffentlicht, der zeigt, wie man zwei der Schwachstellen ausnutzen kann. Jetzt, da der Weg gezeigt wurde, kann man damit rechnen, dass Angreifer ihn ausprobieren. Insbesondere CentOS 8, Red Hat Enterprise Linux (RHEL) 8 und Fedora-Systeme, bei denen unprivilegierte Anwender die benötigten Module automatisch laden können, wenn das rdma-core-Paket installiert ist, sind anfällig. SUSE Linux Enterprise Server (SLES) sowie Ubuntu 18.04 und früher sind ebenfalls angreifbar. Und natürlich können Sie angegriffen werden, wenn Sie tatsächlich SCSI- oder iSCSI-Laufwerke verwenden. Glücklicherweise wurden diese Bugs bereits gepatcht. Um Risiken mit Linux-Servern zu vermeiden, sollten Sie Ihre Linux-Distributionen so schnell wie möglich patchen.