Polkitissa 12 vuotta ollut haavoittuvuus mahdollisti pääkäyttäjän oikeuksien hankkimisen 

Muutama päivä sitten uutinen kertoi asiasta Qualysin tutkimusryhmä löysi muistin vioittumishaavoittuvuuden polkit pkexecistäSUID-juuriohjelma, joka asennetaan oletuksena kaikkiin tärkeimpiin Linux-jakeluihin.

Tämä haavoittuvuus helposti hyödynnettävissä antoi kenelle tahansa ei-käyttöoikeutetulle käyttäjälle täydet pääkäyttäjän oikeudet haavoittuvassa asemassa olevaan isäntään hyödyntämällä tätä haavoittuvuutta oletuskokoonpanossaan.

polkit (tunnetaan aiemmin nimellä PolicyKit) on komponentti järjestelmän laajuiseen käyttöoikeuksien hallintaan Unixin kaltaisissa käyttöjärjestelmissä. Se tarjoaa organisoidun tavan etuoikeutetuille prosesseille kommunikoida etuoikeutettujen prosessien kanssa, ja on myös mahdollista käyttää polkitia komentojen suorittamiseen korotetuilla oikeuksilla käyttämällä pkexec-komentoa, jota seuraa komento, jonka se on tarkoitettu suoritettavaksi (pääkäyttäjän oikeuksilla).

Tietoja haavoittuvuudesta

Haavoittuvuus sijaitsee pkexecissä, sitten koodisi sisältää osoittimen käsittelyvirheen, joista jotkin päätyvät viittaamaan muistialueisiin, joiden ei pitäisi. Tätä puutetta hyödyntämällä on mahdollista saada järjestelmänvalvojan oikeudet lähes välittömästi.

CVE-2021-4034 luetteloitu haavoittuvuus sai CVSS-pisteen 7,8, ja Qualys-tiimi selitti tälle blogiviestissä seuraavaa:

Pkexec-virhe avaa oven pääkäyttäjän oikeuksiin. Qualys-tutkijat, hän sanoi, ovat osoittaneet Ubuntun, Debianin, Fedoran ja CentOS:n oletusasennusten hyväksikäytön, ja myös muiden Linux-jakelujen uskotaan olevan haavoittuvia.

"Tämän haavoittuvuuden onnistunut hyödyntäminen mahdollistaa sen, että käyttäjä, jolla ei ole etuoikeuksia, voi saada pääkäyttäjän oikeudet haavoittuvassa asemassa olevaan isäntään. Qualysin tietoturvatutkijat pystyivät itsenäisesti varmistamaan haavoittuvuuden, kehittämään hyväksikäytön ja saamaan täydet pääkäyttäjän oikeudet Ubuntun, Debianin, Fedoran ja CentOS:n oletusasennuksiin. Muut Linux-jakelut ovat todennäköisesti haavoittuvia ja hyödynnettävissä. Tämä haavoittuvuus on ollut piilossa yli 12 vuotta, ja se vaikuttaa kaikkiin pkexecin versioihin sen ensimmäisen julkaisun jälkeen toukokuussa 2009 (vahvista c8c3d83, "Lisää pkexec(1)-komento").

"Heti kun tutkimusryhmämme vahvisti haavoittuvuuden, Qualys sitoutui vastuulliseen haavoittuvuuden paljastamiseen ja koordinoi toimittajien ja avoimen lähdekoodin jakelujen kanssa haavoittuvuuden ilmoittamista."

Ongelma ilmenee, kun main()-funktio kirjoittanut pkexec käsitellä komentorivin argumentteja ja että argc on nolla. Funktio yrittää silti päästä argumenttiluetteloon ja päätyy käyttämään rgvvoid-funktiota (komentorivin argumenttimerkkijonojen ARGument Vector). Tämän seurauksena muistia luetaan ja kirjoitetaan rajojen ulkopuolella, jota hyökkääjä voi hyödyntää syöttääkseen ympäristömuuttujan, joka voi aiheuttaa mielivaltaisen koodin lataamisen.

Se, että nämä muuttujat voidaan ottaa uudelleen käyttöön, tekee koodista haavoittuvan. Ainakin Qualysin tarjoama hyväksikäyttötekniikka (GCONV_PATH-muuttujan lisääminen pkexec-ympäristöön jaetun kirjaston suorittamiseksi pääkäyttäjänä) jättää jälkiä lokitiedostoihin.

Red Hat antoi turvallisuustiedotteessa seuraavan lausunnon:

"Red Hat on tietoinen pkexecin haavoittuvuudesta, jonka avulla todennettu käyttäjä voi suorittaa etuoikeuksien korotushyökkäyksen."

"Ensisijainen riski asiakkaille on se, että etuoikeutetuilla käyttäjillä on mahdollisuus saada järjestelmänvalvojan oikeuksia, joita asia koskee. Hyökkääjällä on oltava sisäänkirjautuminen kohdejärjestelmään hyökkäyksen suorittamiseksi."

On syytä mainita se haavoittuvuus oli tunnistettu jo vuonna 2013 ja se oli kuvattu yksityiskohtaisesti blogikirjoituksessa, vaikka PoC:ta ei olisi toimitettu:

"Lol, kirjoitin tästä polkit-haavoittuvuudesta vuonna 2013. En löytänyt todellista hyväksikäyttöpolkua, mutta tunnistin perimmäisen syyn."

Lopuksi, jos olet kiinnostunut saamaan tiedon siitä, voit tutustua yksityiskohtiin osoitteessa seuraava linkki.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.