XenSource Xen bis 4.6.0 Mapping arch/x86/mm.c mod_l2_entry erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.2$0-$5k0.00

Es wurde eine Schwachstelle in XenSource Xen (Virtualization Software) entdeckt. Sie wurde als kritisch eingestuft. Es geht dabei um die Funktion mod_l2_entry der Datei arch/x86/mm.c der Komponente Mapping Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-20 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

The mod_l2_entry function in arch/x86/mm.c in Xen 3.4 through 4.6.x does not properly validate level 2 page table entries, which allows local PV guest administrators to gain privileges via a crafted superpage mapping.

Am 05.11.2008 wurde der Fehler eingeführt. Die Schwachstelle wurde am 29.10.2015 durch Alibaba von Xen Security Team als XSA-148 in Form eines bestätigten Security Advisories (Website) publiziert. Bereitgestellt wird das Advisory unter xenbits.xen.org. Die Identifikation der Schwachstelle wird seit dem 14.10.2015 mit CVE-2015-7835 vorgenommen. Die Schwachstelle ist relativ beliebt, was mitunter auf ihre geringe Komplexität zurückzuführen ist. Der Angriff muss lokal erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 25.06.2022). Folgender Code zeichnet sich für das Problem veantwortlich:

if ( l2e_get_flags(nl2e) & _PAGE_PRESENT )
   {
      if ( unlikely(l2e_get_flags(nl2e) & L2_DISALLOW_MASK) )
         {
            //...
         }
Das Advisory weist darauf hin:
We see the attacker might request setting of the (PSE | RW) bits in the L2 PDE (which is possible thanks to L2_DISALLOW_MASK not excluding the PSE bit, something which has been added to support the superpage mappings for the PV guests), thus making the whole L1 table accessible to the guest with R/W rights (now seen as a large 2MB page), and modify one or more of the PTEs there to point to an arbitrary MFN the attacker feels like having access to. Now that would not be all fatal, if the attacker had no way of tricking Xen into treating this (now under the attacker's control) super-page back as a valid table of PTEs. Sadly, there is nothing to stop her from doing that. Thus we end up with Xen now treating the attacker-filled memory as a set of valid PTEs for the (PV) guest. This means the guest, by referencing the addresses mapped by these pages, is now really accessing whatever MFNs the attacker decided to write into the PTEs. In other words, the guest can access now all the system's memory. Reliably. The attack works irrespectively of whether the opt_allow_superpage is true or not.

Vor einer Veröffentlichung handelte es sich 2549 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 03.11.2015 ein Plugin mit der ID 86700 (Debian DSA-3390-1 : xen - security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet und im Kontext local ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 370027 (Citrix XenServer Security Update (CTX202404)) zur Prüfung der Schwachstelle an.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. XenSource hat daher sofort gehandelt.

Mitunter wird der Fehler auch in den Datenbanken von X-Force (107667), Vulnerability Center (SBV-54040) und Tenable (86700) dokumentiert. Das deutsche IT-Nachrichtenportal Heise berichtet ebenfalls über den Fall. Weitere Informationen werden unter blog.xenproject.org bereitgestellt. Die Einträge 78959, 78960 und 78963 sind sehr ähnlich.

Produktinfo

Typ

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 5.9
VulDB Meta Temp Score: 5.2

VulDB Base Score: 5.9
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-20
ATT&CK: Unbekannt

Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Status: Unbewiesen

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 86700
Nessus Name: Debian DSA-3390-1 : xen - security update
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 703390
OpenVAS Name: Debian Security Advisory DSA 3390-1 (xen - security update)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Timelineinfo

05.11.2008 🔍
14.10.2015 +2534 Tage 🔍
29.10.2015 +15 Tage 🔍
29.10.2015 +0 Tage 🔍
29.10.2015 +0 Tage 🔍
29.10.2015 +0 Tage 🔍
30.10.2015 +1 Tage 🔍
30.10.2015 +0 Tage 🔍
30.10.2015 +0 Tage 🔍
03.11.2015 +4 Tage 🔍
25.06.2022 +2426 Tage 🔍

Quelleninfo

Hersteller: citrix.com

Advisory: XSA-148
Person: Alibaba
Firma: Xen Security Team
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2015-7835 (🔍)
OVAL: 🔍

X-Force: 107667 - Xen mappings privilege escalation
SecurityTracker: 1034032
Vulnerability Center: 54040 - Xen Local Privilege Escalation via a PV Guest Access, High
SecurityFocus: 77366 - Xen CVE-2015-7835 Privilege Escalation Vulnerability

Heise: 2866773
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 30.10.2015 09:38
Aktualisierung: 25.06.2022 14:18
Anpassungen: (3) vulnerability_cvss2_nvd_basescore exploit_price_0day source_sectracker
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!