Jos näitä puutteita hyödynnetään, hyökkääjät voivat päästä luvattomasti arkaluontoisiin tietoihin tai aiheuttaa yleensä ongelmia
Muutama päivä sitten Qualys julkaisi uutisen tunnistaneensa vakavan haavoittuvuudene (jo luetteloitu nimellä CVE-2022-3328) snap-confine-apuohjelmassa, joka toimitetaan juuri-SUID-lipun kanssa ja jota snapd-prosessi kutsuu muodostamaan suoritettavan ympäristön snap-muotoisissa paketeissa jaetuille sovelluksille.
Haavoittuvuuden sanotaan antavan etuoikeutetulle paikalliselle käyttäjälle koodin suorittamisen pääkäyttäjänä Ubuntun oletuskokoonpanossa.
Mielenkiintoista on, että kyseinen haavoittuvuus otettiin käyttöön samanlaisen haavoittuvuuden korjaamisen yhteydessä helmikuusta lähtien.
Mikä vaikutus CVE-2022-3328:lla on?
Qualys kertoo raportissaan, että snap-confine-haavoittuvuus on johtuu kilpailutilanteesta must_mkdir_and_open_with_perms()-funktiossa, lisätty suojaamaan hakemiston /tmp/snap.$SNAP_NAME korvaamisesta symlinkillä omistajan vahvistuksen jälkeen, mutta ennen asennusjärjestelmän kutsua sitoaksesi siihen liitoshakemistoja span-muodossa olevan paketin osalta.
Lisätty suojaus oli nimetä /tmp/snap.$SNAP_NAME-hakemisto uudelleen toiseksi /tmp-hakemiston hakemistoksi satunnaisella nimellä, jos se on olemassa eikä pääkäyttäjän omistama.
Hyödyntämällä uudelleennimeämistoimintoa hakemistosta /tmp/snap.$SNAP_NAME, tutkijat käyttivät hyväkseen sitä, että snap-confine luo myös hakemiston /tmp/snap.rootfs_x snap-paketin sisällölle. mkdtemp(), joka valitsee satunnaisesti nimen "x"-osan, mutta paketti nimeltä "rootfs_x" voi kulkea sen läpi sc_instance_name_validate (eli ideana on, että $SNAP_NAME asetetaan arvoon "rootfs_x", jolloin uudelleennimeämistoiminto johtaa siihen, että pääkäyttäjä kirjoittaa hakemiston /tmp/snap.rootfs_x snapissa).
Samanaikaisen käytön saavuttamiseksi tiedostosta /tmp/snap.rootfs_xx ja nimeämällä /tmp/snap.$SNAP_NAME uudelleen, kaksi snap-confine-tapausta aloitettiin.
Heti kun ensimmäinen esiintymä loi /tmp/snap.rootfs_xx prosessi estettiin ja toinen kerta aloitettiin paketin nimellä rootfs_x, mikä sai toisen esiintymän väliaikaisesta hakemistosta /tmp/snap.$SNAP_NAME muuttumaan ensimmäisen esiintymän /tmp/snap .rootfs_x (juurihakemistoksi).
Välittömästi nimenmuutoksen suorittamisen jälkeen toinen esiintymä epäonnistui ja /tmp/snap.rootfs_x korvattiin rotuehtojen manipuloinnilla, kuten helmikuun hyväksikäytössä. Muutoksen jälkeen suorituslukko poistettiin ensimmäisestä esiintymästä ja hyökkääjät saivat täyden hallinnan välittömän juurihakemistoon.
Viimeinen vaihe oli symbolilinkin /tmp/snap.rootfs_x/tmp luominen jota funktio sc_bootstrap_mount_namespace() käytti todellisen kirjoitettavan hakemiston /tmp sitomiseen ja liittämiseen mihin tahansa tiedostojärjestelmän hakemistoon, koska mount()-kutsu seuraa symlinkkejä ennen liittämistä. AppArmorin rajoitukset estävät tällaisen asennuksen, mutta tämän eston ohittamiseksi hyväksikäyttö käytti kahta haavoittuvuutta. auttajia monipolussa.
Kaikkien kolmen haavoittuvuuden onnistunut hyödyntäminen mahdollistaa sen, että kaikki etuoikeutetut käyttäjät voivat saada pääkäyttäjän oikeudet haavoittuvassa asemassa olevaan laitteeseen. Qualysin tietoturvatutkijat vahvistivat haavoittuvuuden, kehittivät hyväksikäytön ja saivat täydet pääkäyttäjän oikeudet oletusarvoisiin Ubuntu-asennuksiin.
Heti kun Qualys Threat Research Unit vahvisti haavoittuvuuden, aloitimme vastuullisen haavoittuvuuden paljastamisen ja koordinoimme toimittajien ja avoimen lähdekoodin jakelujen kanssa ilmoittaaksemme tästä äskettäin löydetystä haavoittuvuudesta.
Tutkijat pystyivät valmistamaan toimivan hyödyn joka tarjoaa pääkäyttäjän oikeudet Ubuntu Server 22.04:ään, joka snap-confine-haavoittuvuuden lisäksi sisältää myös kaksi monitieprosessin haavoittuvuutta (CVE-2022-41974, CVE-2022-41973), jotka liittyvät käyttöoikeuksien ohittamiseen ja etuoikeutettujen komentojen välitykseen. symbolisten linkkien epävarma käsittely.
On syytä mainita se ongelma korjattiin snapd 2.57.6:n julkaisussa, Lisäksi pakettipäivitykset on julkaistu kaikille tuetuille Ubuntun haaroille.
Lopuksi, jos haluat tietää enemmän siitä, voit tutustua yksityiskohtiin Seuraavassa linkissä.