Pred pár dňami to priniesla správa Výskumný tím Qualys objavil v polkit pkexec zraniteľnosť proti poškodeniu pamäte, koreňový program SUID, ktorý je štandardne nainštalovaný na všetkých hlavných distribúciách Linuxu.
Táto zraniteľnosť ľahko zneužiteľné umožnilo každému neprivilegovanému používateľovi získať úplné oprávnenia root na zraniteľnom hostiteľovi využitím tejto zraniteľnosti v jeho predvolenej konfigurácii.
polkit (predtým známy ako PolicyKit) je komponent pre kontrolu privilégií v rámci celého systému na operačných systémoch podobných Unixu. Poskytuje organizovaný spôsob komunikácie neprivilegovaných procesov s privilegovanými procesmi a navyše je tiež možné použiť polkit na spúšťanie príkazov so zvýšenými privilégiami pomocou príkazu pkexec, za ktorým nasleduje príkaz, ktorý sa má spustiť (s oprávnením root).
O zraniteľnosti
Zraniteľnosť leží v pkexec, potom váš kód obsahuje chybu spracovania ukazovateľa, z ktorých niektoré skončiť odkazovaním na oblasti pamäte, ktoré by nemali. Využitím tejto chyby je možné získať oprávnenia správcu takmer okamžite.
Zraniteľnosť, katalogizovaná ako CVE-2021-4034, získala CVSS skóre 7,8 a tím Qualys v blogovom príspevku vysvetlil, že:
Chyba pkexec otvára útočníkom dvere k privilégiám root. Výskumníci Qualys, povedal, ukázali zneužívanie predvolených inštalácií Ubuntu, Debian, Fedora a CentOS a ďalšie distribúcie Linuxu sú tiež považované za zraniteľné.
„Úspešné využitie tejto zraniteľnosti umožňuje každému neprivilegovanému používateľovi získať oprávnenia root na zraniteľnom hostiteľovi. Výskumníci v oblasti bezpečnosti Qualys boli schopní nezávisle overiť zraniteľnosť, vyvinúť exploit a získať úplné oprávnenia root na predvolených inštaláciách Ubuntu, Debian, Fedora a CentOS. Iné distribúcie Linuxu sú pravdepodobne zraniteľné a zneužiteľné. Táto chyba zabezpečenia bola skrytá viac ako 12 rokov a ovplyvňuje všetky verzie pkexec od jeho prvého vydania v máji 2009 (potvrďte c8c3d83, "Pridať príkaz pkexec(1)").
"Hneď ako náš výskumný tím potvrdil zraniteľnosť, Qualys sa zaviazal k zodpovednému odhaleniu zraniteľnosti a koordinoval sa s predajcami a open source distribúciami, aby túto zraniteľnosť oznámil."
Problém nastáva pri funkcii main(). od pkexec spracovať argumenty príkazového riadku a že argc je nula. Funkcia sa stále pokúša o prístup k zoznamu argumentov a nakoniec sa pokúša použiť rgvvoid (ARGumentový vektor reťazcov argumentov príkazového riadku). V dôsledku toho sa pamäť číta a zapisuje mimo hraníc, čo môže útočník zneužiť na vloženie premennej prostredia, ktorá môže spôsobiť načítanie ľubovoľného kódu.
Skutočnosť, že tieto premenné môžu byť znovu zavedené, robí kód zraniteľným. Prinajmenšom technika využívania, ktorú ponúka Qualys (vloženie premennej GCONV_PATH do prostredia pkexec na spustenie zdieľanej knižnice ako root), zanecháva stopy v protokolových súboroch.
V bezpečnostnom upozornení vydala spoločnosť Red Hat nasledujúce vyhlásenie:
"Red Hat si je vedomý zraniteľnosti nájdenej v pkexec, ktorá umožňuje overenému používateľovi vykonať útok na zvýšenie privilégií."
„Primárnym rizikom pre zákazníkov je možnosť, že neprivilegovaný používateľ získa privilégiá správcu na postihnutých systémoch. Útočník musí mať prihlasovací prístup do cieľového systému, aby mohol vykonať útok."
Za zmienku stojí to zraniteľnosť bola identifikovaná už v roku 2013 a bol podrobne popísaný v blogovom príspevku, aj keď nebolo poskytnuté žiadne PoC:
"Lol, písal som o tejto zraniteľnosti Polkit v roku 2013. Nenašiel som skutočnú cestu zneužitia, ale identifikoval som hlavnú príčinu."
Nakoniec, ak máte záujem o to vedieť, môžete si podrobnosti prečítať v nasledujúci odkaz.