Prije nekoliko dana pojavile su se vijesti Qualys istraživački tim otkrio je ranjivost na oštećenje memorije u polkit pkexec-u, root SUID program koji je po defaultu instaliran na svim glavnim distribucijama Linuxa.
Ova ranjivost lako iskoristiv dozvolio bilo kojem nepovlaštenom korisniku da dobije pune root privilegije na ranjivom hostu iskorištavanjem ove ranjivosti u svojoj zadanoj konfiguraciji.
polkit (ranije poznat kao PolicyKit) je komponenta za kontrolu privilegija u cijelom sistemu na operativnim sistemima sličnim Unixu. Pruža organiziran način da neprivilegirani procesi komuniciraju s privilegiranim procesima, plus je također moguće koristiti polkit za pokretanje komandi s povišenim privilegijama koristeći naredbu pkexec nakon koje slijedi naredba koju treba pokrenuti (sa root dozvolom).
O ranjivosti
Ranjivost leži u pkexec-u, dobro vaš kod sadrži grešku u rukovanju pokazivačem, od kojih neki završiti referenciranjem područja memorije koja ne bi trebala. Iskorištavanjem ove mane moguće je skoro trenutno dobiti administratorske privilegije.
Katalogizirana kao CVE-2021-4034, ranjivost je dobila CVSS ocjenu 7,8 i što je Qualys tim objasnio u objavi na blogu da:
Pkexec nedostatak otvara vrata za root privilegije za napadača. Qualysovi istraživači su, kako je rekao, pokazali eksploataciju zadanih instalacija Ubuntua, Debiana, Fedore i CentOS-a, a vjeruje se da su i druge Linux distribucije ranjive.
“Uspješno iskorištavanje ove ranjivosti omogućava svakom nepovlaštenom korisniku da dobije root privilegije na ranjivom hostu. Qualysovi sigurnosni istraživači bili su u mogućnosti neovisno provjeriti ranjivost, razviti exploit i steći potpune root privilegije na zadanim instalacijama Ubuntu, Debian, Fedora i CentOS. Druge Linux distribucije su vjerovatno ranjive i iskoristive. Ova ranjivost je skrivena više od 12 godina i utiče na sve verzije pkexec-a od njegovog prvog izdanja u maju 2009. (potvrdite c8c3d83, "Dodaj naredbu pkexec(1)").
"Čim je naš istraživački tim potvrdio ranjivost, Qualys se obavezao na odgovorno otkrivanje ranjivosti i koordinirao se s dobavljačima i distribucijama otvorenog koda kako bi objavio ranjivost."
Problem se javlja kada je funkcija main(). od pkexec procesirati argumente komandne linije i to argc je nula. Funkcija i dalje pokušava da pristupi listi argumenata i na kraju pokušava da koristi rgvvoid (ARGument vektor nizova argumenata komandne linije). Kao rezultat, memorija se čita i upisuje van granica, što napadač može iskoristiti da ubaci varijablu okruženja koja može uzrokovati učitavanje proizvoljnog koda.
Činjenica da se ove varijable mogu ponovo uvesti čini kod ranjivim. Barem tehnika eksploatacije koju nudi Qualys (ubacivanje varijable GCONV_PATH u pkexec okruženje za pokretanje dijeljene biblioteke kao root) ostavlja tragove u datotekama dnevnika.
U sigurnosnom savjetovanju, Red Hat je izdao sljedeće saopštenje:
"Red Hat je svjestan ranjivosti pronađene u pkexec-u koja omogućava autentificiranom korisniku da izvrši napad s povećanjem privilegija."
“Primarni rizik za klijente je potencijal da neprivilegirani korisnik dobije administrativne privilegije na pogođenim sistemima. Napadač mora imati pristup za prijavu na ciljni sistem da bi izvršio napad."
Vrijedno je to spomenuti ranjivost je već identifikovana 2013 i bio je detaljno opisan u blog postu, čak i ako nije dostavljen PoC:
"Lol, pisao sam o ovoj ranjivosti u polkit-u 2013. Nisam mogao pronaći stvarnu putanju eksploatacije, ali sam identifikovao osnovni uzrok."
Konačno, ako ste zainteresirani da to znate o tome, možete pogledati detalje u sljedeći link.