Виявлення нової уразливості переповнення цілого числа в модулі безпеки Move мови

Нещодавно дослідники в процесі глибокого аналізу мови Move виявили новий вразливість переповнення цілого числа. Ця вразливість існує в модулі безпеки посилань і може призвести до серйозної атаки відмови в обслуговуванні. У цій статті буде детально описано процес виявлення цієї вразливості та її технічні деталі.

Механізм безпеки посилань Move мови

Мова Move запозичила ідеї з Rust і підтримує два типи посилань: незмінне посилання (&) та змінне посилання (&mut). Модуль безпеки посилань перевіряє законність всіх операцій з посиланнями, скануючи базові блоки та байт-код інструкцій у функціях.

Процес перевірки переважно включає наступні етапи:

1. Аналізуйте кожен основний блок
2. Виконати код основного блоку для генерації пост-стану
3. Об'єднання pre state та post state
4. Оновіть стан блоку та розповсюдьте його на наступні блоки

Серед них state містить два ключові компоненти: locals і borrow graph, які забезпечують безпеку посилань у функції.

Деталі вразливості

Вразливість виникає в функції join_, що посилається на модуль безпеки. Коли сума довжини параметрів функції та довжини локальних змінних перевищує 256, використання типу u8 для ітерації locals призводить до переповнення цілого числа.

Конкретно кажучи:

• iter_locals() повертає ітератор типу u8
• Коли довжина параметра + довжина локальної змінної перевищує 256, відбудеться переповнення
• Розробники, здається, усвідомлюють необхідність перевірки цього, але фактичний код перевіряє лише кількість локальних змінних.

Використання вразливостей

Використовуючи цю уразливість, можна створити циклічний кодовий блок:

1. Перший запуск призводить до переповнення, змінює карту locals
2. Під час другого виконання доступ до неіснуючого індексу locals викликав паніку

Це призведе до збоїв у вузлах, що призведе до атаки відмови в обслуговуванні.

Відтворення вразливості

Дослідники надали PoC для відтворення цього вразливості:

1. Встановіть parameters та locals обидва на SignatureIndex(0), щоб num_locals дорівнював 264.
2. Після першого виконання довжина нового локального мапи змінилася на 8
3. При другому виконанні, copyloc(57) доступ до неіснуючого offset призводить до паніки

Підсумок та рекомендації

Цей вразливість пояснює:

1. Немає абсолютно безпечного коду, статична перевірка може бути обійдена
2. Аудит коду дуже важливий, він може виявити недогляди розробників.
3. Мова Move повинна додати перевірку під час виконання, а не лише покладатися на перевірки безпеки на етапі валідації.

Дослідники закликають дизайнерів мови Move посилити механізми безпеки під час виконання, щоб запобігти використанню подібних вразливостей, що може призвести до серйозніших проблем.