Pirms dažām dienām par to atklājās ziņas Qualys pētniecības grupa atklāja atmiņas bojājuma ievainojamību programmā polkit pkexec, saknes SUID programma, kas pēc noklusējuma tiek instalēta visos galvenajos Linux izplatījumos.
Šī ievainojamība viegli ekspluatējams ļāva jebkuram lietotājam bez priviliģētām tiesībām iegūt visas ievainojamā resursdatora saknes tiesības, izmantojot šo ievainojamību tās noklusējuma konfigurācijā.
polkit (iepriekš zināms kā PolicyKit) ir visas sistēmas privilēģiju kontroles sastāvdaļa Unix līdzīgām operētājsistēmām. Tas nodrošina organizētu veidu, kā nepriviliģētiem procesiem sazināties ar priviliģētiem procesiem, kā arī ir iespējams izmantot polkit, lai palaistu komandas ar paaugstinātām privilēģijām, izmantojot komandu pkexec, kam seko komanda, kuru tai ir paredzēts palaist (ar root atļauju).
Par ievainojamību
Neaizsargātība atrodas pkexec, par jūsu kodā ir rādītāja apstrādes kļūda, daži no kuriem galu galā atsaucas uz atmiņas apgabaliem, kuriem nevajadzētu. Izmantojot šo trūkumu, ir iespējams gandrīz uzreiz iegūt administratora privilēģijas.
Ievainojamība, kas reģistrēta kā CVE-2021-4034, saņēma CVSS punktu 7,8, un Qualys komanda emuāra ziņā paskaidroja, ka:
Pkexec trūkums paver durvis uzbrucējam root tiesībām. Viņš teica, ka Qualys pētnieki ir parādījuši Ubuntu, Debian, Fedora un CentOS noklusējuma instalāciju izmantošanu, un tiek uzskatīts, ka arī citi Linux izplatījumi ir neaizsargāti.
“Šīs ievainojamības veiksmīga izmantošana ļauj jebkuram lietotājam, kam nav priviliģētu statusu, iegūt root tiesības ievainojamajā resursdatorā. Qualys drošības pētnieki varēja neatkarīgi pārbaudīt ievainojamību, izstrādāt ekspluatāciju un iegūt visas saknes tiesības Ubuntu, Debian, Fedora un CentOS noklusējuma instalācijās. Citi Linux izplatījumi, iespējams, ir neaizsargāti un izmantojami. Šī ievainojamība ir slēpta vairāk nekā 12 gadus, un tā ietekmē visas pkexec versijas kopš tās pirmās izlaišanas 2009. gada maijā (apstipriniet c8c3d83, "Pievienot pkexec(1) komandu").
"Tiklīdz mūsu pētnieku komanda apstiprināja ievainojamību, Qualys apņēmās atbildīgi atklāt ievainojamību un sadarbojās ar pārdevējiem un atklātā pirmkoda izplatītājiem, lai paziņotu par ievainojamību."
Problēma rodas, kad galvenā() funkcija ar pkexec apstrādāt komandrindas argumentus un ka argc ir nulle. Funkcija joprojām mēģina piekļūt argumentu sarakstam un mēģina izmantot rgvvoid (komandrindas argumentu virkņu ARGument Vector). Rezultātā atmiņa tiek lasīta un rakstīta ārpus robežām, ko uzbrucējs var izmantot, lai ievadītu vides mainīgo, kas var izraisīt patvaļīga koda ielādi.
Fakts, ka šos mainīgos var atkārtoti ieviest, padara kodu neaizsargātu. Vismaz Qualys piedāvātais ekspluatācijas paņēmiens (mainīgā GCONV_PATH ievadīšana pkexec vidē, lai palaistu koplietotu bibliotēku kā root) atstāj pēdas žurnālfailos.
Drošības ieteikumā Red Hat izdeva šādu paziņojumu:
"Red Hat apzinās pkexec ievainojamību, kas ļauj autentificētam lietotājam veikt privilēģiju palielināšanas uzbrukumu."
“Primārais risks klientiem ir iespēja, ka nepievilcīgs lietotājs var iegūt administratīvās privilēģijas ietekmētajās sistēmās. Lai veiktu uzbrukumu, uzbrucējam ir jābūt pieteikšanās piekļuvei mērķa sistēmai.
Ir vērts to pieminēt ievainojamība tika konstatēta jau 2013. gadā un tas bija detalizēti aprakstīts emuāra ziņā, pat ja nebija nodrošināts PoC:
"Lol, es rakstīju par šo polkit ievainojamību 2013. gadā. Es nevarēju atrast īstu izmantošanas ceļu, taču es atklāju galveno cēloni."
Visbeidzot, ja vēlaties uzzināt par to, varat skatīt detalizētu informāciju šī saite.