Detection and Mitigation of eBPF Security Risks in the Linux Kernel

eBPF è diventata una tecnologia chiave per l’osservabilità e la sicurezza dei sistemi, consentendo l’esecuzione efficiente, all’interno del kernel, di programmi definiti dall’utente. Tuttavia, la sua crescente adozione ha introdotto anche nuove superfici di attacco, con diverse vulnerabilità che hanno portato a gravi conseguenze come escalation di privilegi, kernel panic e attacchi alle mappe eBPF. Questa tesi, sviluppata in collaborazione con Rakuten e un collega, è stata complessivamente suddivisa in quattro casi d’uso, di cui due presentati qui. La prima parte del lavoro si è concentrata sullo studio dei fondamenti di eBPF, sull’analisi delle problematiche di sicurezza note, sull’esplorazione della sua integrazione con LSM e sulla revisione dei prodotti presenti sul mercato che impiegano eBPF per il monitoraggio della sicurezza. Questo ha fornito le basi per la successiva fase sperimentale, che ha indagato specifiche vulnerabilità e potenziali strategie di hardening. La metodologia adottata è consistita nell’analisi di CVE ad alta gravità e vettori d’attacco, nell’esame delle proof of concept esistenti e nella proposta di meccanismi difensivi progettati per essere sufficientemente generali da resistere a varianti di exploit già conosciuti. Vengono discussi due casi di studio. Il primo riguarda la protezione delle mappe eBPF, centrali sia per applicazioni lecite sia per strumenti di sicurezza, e quindi un obiettivo attraente per gli attacchi. Il secondo si concentra sugli exploit di escalation di privilegi, con un’analisi dettagliata di CVE-2021-3490 e lo sviluppo di contromisure. I risultati mostrano che meccanismi di protezione a livello di kernel come BPF-LSM, così come strumenti di sicurezza di livello superiore come Tetragon o l’impiego di moduli kernel, possono essere sfruttati efficacemente per mitigare queste minacce, ciascuno con i propri compromessi in termini di granularità, copertura e facilità di implementazione. Nel complesso, questa tesi contribuisce a una migliore comprensione delle superfici di attacco legate a eBPF e fornisce indicazioni pratiche per progettare soluzioni di hardening in ambienti reali.