Néhány nappal ezelőtt ezt a hír hozta fel A Qualys kutatócsoport memóriasérüléssel kapcsolatos sebezhetőséget fedezett fel a polkit pkexecben, egy root SUID program, amely alapértelmezés szerint minden nagyobb Linux disztribúcióra telepítve van.
Ez a sebezhetőség könnyen kihasználható lehetővé tette minden nem jogosult felhasználó számára, hogy teljes root jogosultságot szerezzen a sebezhető gazdagépen a biztonsági rés alapértelmezett konfigurációjában történő kihasználásával.
polkit (korábbi nevén PolicyKit) a rendszerszintű jogosultságok vezérlésének összetevője Unix-szerű operációs rendszereken. Szervezett módot biztosít a nem privilegizált folyamatok számára a privilegizált folyamatokkal való kommunikációra, valamint a polkit segítségével emelt jogosultságokkal rendelkező parancsokat is futtathat a pkexec paranccsal, amelyet a futtatni kívánt parancs követ (root jogosultsággal).
A sebezhetőségről
Sebezhetőség a pkexecben rejlik, pues a kódod mutatókezelési hibát tartalmaz, amelyből néhány végül olyan memóriaterületekre hivatkoznak, amelyeknek nem kellene. Ennek a hibának a kihasználásával szinte azonnal rendszergazdai jogosultságokra tehet szert.
A CVE-2021-4034 katalógusban szereplő biztonsági rés 7,8-as CVSS-pontszámot kapott, és erre a Qualys csapata egy blogbejegyzésben kifejtette, hogy:
A pkexec hiba megnyitja az ajtót a támadó root jogosultságaihoz. A Qualys kutatói kimutatták az Ubuntu, Debian, Fedora és CentOS alapértelmezett telepítéseinek kihasználását, és más Linux disztribúciók is sebezhetőek.
„A sérülékenység sikeres kihasználása lehetővé teszi, hogy minden nem jogosult felhasználó root jogosultságot szerezzen a sérülékeny gazdagépen. A Qualys biztonsági kutatói képesek voltak függetlenül ellenőrizni a sebezhetőséget, kifejleszteni egy exploitot, és teljes root jogosultságokat szerezni az Ubuntu, Debian, Fedora és CentOS alapértelmezett telepítésein. Más Linux-disztribúciók valószínűleg sebezhetőek és kihasználhatók. Ez a sérülékenység több mint 12 éve rejtve van, és a pkexec összes verzióját érinti a 2009. májusi első kiadás óta (erősítse meg a c8c3d83 „Add a pkexec(1) parancsot”).
"Amint kutatócsoportunk megerősítette a sebezhetőséget, a Qualys elkötelezte magát a sebezhetőség felelős feltárása mellett, és együttműködött a gyártókkal és a nyílt forráskódú disztribúciókkal a sérülékenység bejelentése érdekében."
A probléma akkor jelentkezik, amikor a main() függvény a pkexec által parancssori argumentumokat dolgozzon fel és ez argc nulla. A függvény továbbra is megpróbál hozzáférni az argumentumlistához, és végül egy rgvvoid-ot (a parancssori argumentumkarakterláncok ARGument Vector) használ. Ennek eredményeként a memória beolvasása és írása határokon kívül történik, amit a támadó kihasználva olyan környezeti változót injektálhat, amely tetszőleges kód betöltését okozhatja.
Az a tény, hogy ezek a változók újra bevezethetők, sebezhetővé teszi a kódot. Legalábbis a Qualys által kínált kihasználási technika (a GCONV_PATH változó beillesztése a pkexec környezetbe egy megosztott könyvtár rootként való futtatásához) nyomokat hagy a naplófájlokban.
Egy biztonsági figyelmeztetésben a Red Hat a következő nyilatkozatot adta ki:
"A Red Hat tudatában van a pkexecben talált sebezhetőségnek, amely lehetővé teszi a hitelesített felhasználók számára, hogy jogosultságnövelő támadást hajtsanak végre."
„Az ügyfelek számára az elsődleges kockázat az, hogy egy privilegizálatlan felhasználó rendszergazdai jogosultságokat szerezhet az érintett rendszereken. A támadónak bejelentkezési hozzáféréssel kell rendelkeznie a célrendszerhez a támadás végrehajtásához."
Érdemes ezt megemlíteni a sebezhetőséget már 2013-ban azonosították és részletesen leírták egy blogbejegyzésben, még akkor is, ha nem adtak volna meg PoC-t:
"Lol, 2013-ban írtam erről a polkit sebezhetőségről. Nem találtam tényleges kihasználási útvonalat, de azonosítottam a kiváltó okot."
Végül, ha érdekli, hogy ezt megtudja róla, a részletekről tájékozódhat a következő link.