Πριν λίγες μέρες κυκλοφόρησε η είδηση Η ερευνητική ομάδα της Qualys ανακάλυψε ευπάθεια καταστροφής μνήμης στο polkit pkexec, ένα πρόγραμμα root SUID που είναι εγκατεστημένο από προεπιλογή σε όλες τις μεγάλες διανομές Linux.
Αυτή η ευπάθεια εύκολα εκμεταλλεύσιμο επέτρεψε σε οποιονδήποτε μη προνομιούχο χρήστη να αποκτήσει πλήρη δικαιώματα root σε έναν ευάλωτο κεντρικό υπολογιστή εκμεταλλευόμενος αυτήν την ευπάθεια στην προεπιλεγμένη του διαμόρφωση.
Πόλκιτ (παλαιότερα γνωστό ως PolicyKit) είναι ένα στοιχείο για έλεγχο προνομίων σε όλο το σύστημα σε λειτουργικά συστήματα παρόμοια με το Unix. Παρέχει έναν οργανωμένο τρόπο για μη προνομιούχες διεργασίες να επικοινωνούν με προνομιούχες διεργασίες, ενώ είναι επίσης δυνατή η χρήση του polkit για την εκτέλεση εντολών με αυξημένα δικαιώματα χρησιμοποιώντας την εντολή pkexec ακολουθούμενη από την εντολή που προορίζεται να εκτελεστεί (με άδεια root).
Σχετικά με την ευπάθεια
Τρωτό βρίσκεται στο pkexec, καλά Ο κώδικάς σας περιέχει ένα σφάλμα χειρισμού δείκτη, μερικά από τα οποία καταλήγουν να αναφέρονται σε περιοχές της μνήμης που δεν θα έπρεπε. Με την εκμετάλλευση αυτού του ελαττώματος, είναι δυνατό να αποκτήσετε δικαιώματα διαχειριστή σχεδόν αμέσως.
Καταλογιζόμενο ως CVE-2021-4034, η ευπάθεια έλαβε βαθμολογία CVSS 7,8 και η ομάδα Qualys εξήγησε σε μια ανάρτηση ιστολογίου ότι:
Το ελάττωμα pkexec ανοίγει την πόρτα στα δικαιώματα root για έναν εισβολέα. Οι ερευνητές της Qualys, είπε, έχουν δείξει εκμετάλλευση προεπιλεγμένων εγκαταστάσεων των Ubuntu, Debian, Fedora και CentOS και άλλες διανομές Linux πιστεύεται επίσης ότι είναι ευάλωτες.
«Η επιτυχής εκμετάλλευση αυτής της ευπάθειας επιτρέπει σε κάθε μη προνομιούχο χρήστη να αποκτήσει δικαιώματα root στον ευάλωτο κεντρικό υπολογιστή. Οι ερευνητές ασφαλείας της Qualys μπόρεσαν να επαληθεύσουν ανεξάρτητα την ευπάθεια, να αναπτύξουν ένα exploit και να αποκτήσουν πλήρη δικαιώματα root στις προεπιλεγμένες εγκαταστάσεις των Ubuntu, Debian, Fedora και CentOS. Άλλες διανομές Linux είναι πιθανώς ευάλωτες και εκμεταλλεύσιμες. Αυτό το θέμα ευπάθειας είναι κρυφό για περισσότερα από 12 χρόνια και επηρεάζει όλες τις εκδόσεις του pkexec από την πρώτη του κυκλοφορία τον Μάιο του 2009 (επιβεβαιώστε c8c3d83, "Προσθήκη εντολής pkexec(1)").
"Μόλις η ερευνητική μας ομάδα επιβεβαίωσε την ευπάθεια, η Qualys δεσμεύτηκε στην υπεύθυνη αποκάλυψη ευπάθειας και συντονίστηκε με προμηθευτές και διανομές ανοιχτού κώδικα για να ανακοινώσει την ευπάθεια."
Το πρόβλημα παρουσιάζεται όταν η συνάρτηση main(). από το pkexec επεξεργαστείτε ορίσματα γραμμής εντολών και ότι Το argc είναι μηδέν. Η συνάρτηση εξακολουθεί να προσπαθεί να αποκτήσει πρόσβαση στη λίστα ορισμάτων και καταλήγει να προσπαθεί να χρησιμοποιήσει ένα rgvvoid (Διάνυσμα ARGument συμβολοσειρών ορίσματος γραμμής εντολών). Ως αποτέλεσμα, η μνήμη διαβάζεται και γράφεται εκτός ορίων, την οποία ένας εισβολέας μπορεί να εκμεταλλευτεί για να εισάγει μια μεταβλητή περιβάλλοντος που μπορεί να προκαλέσει τη φόρτωση αυθαίρετου κώδικα.
Το γεγονός ότι αυτές οι μεταβλητές μπορούν να επανεισαχθούν καθιστά τον κώδικα ευάλωτο. Τουλάχιστον η τεχνική εκμετάλλευσης που προσφέρει η Qualys (με έγχυση της μεταβλητής GCONV_PATH στο περιβάλλον pkexec για την εκτέλεση μιας κοινόχρηστης βιβλιοθήκης ως root) αφήνει ίχνη στα αρχεία καταγραφής.
Σε μια συμβουλή ασφαλείας, η Red Hat εξέδωσε την ακόλουθη δήλωση:
"Η Red Hat έχει επίγνωση μιας ευπάθειας που βρέθηκε στο pkexec που επιτρέπει σε έναν επαληθευμένο χρήστη να εκτελέσει μια επίθεση ανύψωσης προνομίων."
«Ο πρωταρχικός κίνδυνος για τους πελάτες είναι η δυνατότητα για έναν μη προνομιούχο χρήστη να αποκτήσει δικαιώματα διαχείρισης στα επηρεαζόμενα συστήματα. Ο εισβολέας πρέπει να έχει πρόσβαση σύνδεσης στο σύστημα στόχου για να πραγματοποιήσει την επίθεση."
Αξίζει να το αναφέρουμε η ευπάθεια είχε ήδη εντοπιστεί το 2013 και είχε περιγραφεί λεπτομερώς σε μια ανάρτηση ιστολογίου, ακόμα κι αν δεν είχε παρασχεθεί PoC:
"Λολ, έγραψα για αυτήν την ευπάθεια του polkit το 2013. Δεν μπορούσα να βρω μια πραγματική διαδρομή εκμετάλλευσης, αλλά εντόπισα τη βασική αιτία."
Τέλος, εάν ενδιαφέρεστε να το μάθετε σχετικά, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο παρακάτω σύνδεσμο.