Mõni päev tagasi levis see uudis Qualysi uurimisrühm avastas rakenduses polkit pkexec mälukahjustuse haavatavuse, juur-SUID-programm, mis installitakse vaikimisi kõikidele suurematele Linuxi distributsioonidele.
See haavatavus kergesti ekspluateeritav võimaldas igal privilegeerimata kasutajal saada haavatavas hostis täielikud juurõigused, kasutades seda haavatavust vaikekonfiguratsioonis.
polkit (varem tuntud kui PolicyKit) on kogu süsteemi hõlmava privileegide kontrolli komponent Unixi sarnastes operatsioonisüsteemides. See pakub organiseeritud viisi privilegeeritud protsessidele privilegeeritud protsessidega suhtlemiseks, lisaks on võimalik kasutada ka polkiti kõrgendatud õigustega käskude käivitamiseks, kasutades käsku pkexec, millele järgneb käsk, mida see on ette nähtud (juurõigusega).
Haavatavuse kohta
Haavatavus asub pkexecis, nii teie kood sisaldab osuti käsitlemise viga, millest mõned viidates mälupiirkondadele, mis ei tohiks olla. Seda viga ära kasutades on võimalik saada peaaegu koheselt administraatoriõigused.
CVE-2021-4034 kataloogis haavatavus sai CVSS-i hindeks 7,8 ja Qualyse meeskond selgitas blogipostituses järgmist.
Pkexeci viga avab ründajale juureõigused. Tema sõnul on Qualysi teadlased näidanud Ubuntu, Debiani, Fedora ja CentOS-i vaikeinstallatsioonide ärakasutamist ning arvatakse, et teised Linuxi distributsioonid on samuti haavatavad.
"Selle haavatavuse edukas ärakasutamine võimaldab igal privilegeeritud kasutajal saada haavatavas hostis juurõigused. Qualysi turbeteadlased suutsid Ubuntu, Debiani, Fedora ja CentOS-i vaikeinstallatsioonidel iseseisvalt haavatavust kontrollida, välja töötada ärakasutamise ja omandada täielikud juurõigused. Teised Linuxi distributsioonid on tõenäoliselt haavatavad ja ärakasutatavad. See haavatavus on olnud peidetud rohkem kui 12 aastat ja see mõjutab kõiki pkexeci versioone alates selle esimesest väljalaskest 2009. aasta mais (kinnitage c8c3d83, "Lisa pkexec(1) käsk").
"Niipea, kui meie uurimisrühm haavatavust kinnitas, võttis Qualys kohustuse haavatavuse vastutustundlikult avalikustada ning tegi koostööd tarnijate ja avatud lähtekoodiga distributsioonidega, et haavatavusest teatada."
Probleem ilmneb funktsiooni main() korral autor pkexec töödelda käsurea argumente ja et argc on null. Funktsioon proovib endiselt juurdepääsu argumentide loendile ja püüab kasutada rgvvoidi (käsurea argumendistringide ARGument Vector). Selle tulemusena loetakse ja kirjutatakse mälu väljaspool piire, mida ründaja saab ära kasutada keskkonnamuutuja sisestamiseks, mis võib põhjustada suvalise koodi laadimise.
Asjaolu, et neid muutujaid saab uuesti kasutusele võtta, muudab koodi haavatavaks. Vähemalt Qualysi pakutav ekspluateerimistehnika (muutuja GCONV_PATH süstimine pkexeci keskkonda, et käivitada jagatud teegi administraatorina) jätab logifailidesse jäljed.
Red Hat andis turvanõuandes välja järgmise avalduse:
"Red Hat on teadlik pkexeci haavatavusest, mis võimaldab autentitud kasutajal sooritada õiguste tõstmise rünnakut."
„Klientide peamine risk on võimalus, et privilegeerimata kasutaja saab mõjutatud süsteemides administraatoriõigusi. Rünnaku läbiviimiseks peab ründajal olema sihtsüsteemile sisselogimisjuurdepääs."
Tasub seda mainida haavatavus tuvastati juba 2013. aastal ja seda on üksikasjalikult kirjeldatud ajaveebi postituses, isegi kui PoC-d polnud esitatud:
"Lol, ma kirjutasin sellest polkiti haavatavusest 2013. aastal. Ma ei leidnud tegelikku ärakasutamise teed, kuid tuvastasin algpõhjuse."
Lõpuks, kui olete huvitatud sellest, et saaksite selle kohta teavet saada, vaadake üksikasju jaotisest järgmine link.