Pred nekaj dnevi je to odkrila novica Raziskovalna skupina Qualys je v polkit pkexec odkrila ranljivost zaradi poškodbe pomnilnika, korenski program SUID, ki je privzeto nameščen v vseh večjih distribucijah Linuxa.
Ta ranljivost lahko izkoriščen vsem neprivilegiranim uporabnikom omogočil pridobitev polnih korenskih pravic na ranljivem gostitelju z izkoriščanjem te ranljivosti v privzeti konfiguraciji.
polkit (prej znan kot PolicyKit) je komponenta za nadzor privilegijev v celotnem sistemu na operacijskih sistemih, podobnih Unixu. Zagotavlja organiziran način, da neprivilegirani procesi komunicirajo s privilegiranimi procesi, poleg tega pa je mogoče uporabiti tudi polkit za izvajanje ukazov s povišanimi privilegiji z ukazom pkexec, ki mu sledi ukaz, ki ga namerava izvajati (z dovoljenjem root).
O ranljivosti
Ranljivost leži v pkexec, dobro vaša koda vsebuje napako pri obravnavi kazalca, od katerih nekaj na koncu se sklicuje na področja pomnilnika, ki ne bi smela. Z izkoriščanjem te pomanjkljivosti je mogoče skoraj takoj pridobiti skrbniške pravice.
Ranljivost, ki je označena kot CVE-2021-4034, je prejela oceno CVSS 7,8 in na kar je ekipa Qualys pojasnila v objavi na blogu, da:
Pomanjkljivost pkexec napadalcu odpira vrata za root privilegije. Raziskovalci Qualysa so po njegovih besedah pokazali izkoriščanje privzetih naprav Ubuntu, Debian, Fedora in CentOS, druge distribucije Linuxa pa naj bi bile tudi ranljive.
»Uspešno izkoriščanje te ranljivosti omogoča vsakemu neprivilegiranemu uporabniku, da pridobi root privilegije na ranljivem gostitelju. Varnostni raziskovalci Qualysa so lahko neodvisno preverili ranljivost, razvili izkoriščanje in pridobili polne pravice root na privzetih namestitvah Ubuntu, Debian, Fedora in CentOS. Druge distribucije Linuxa so verjetno ranljive in izkoriščene. Ta ranljivost je bila skrita že več kot 12 let in vpliva na vse različice pkexec od njegove prve izdaje maja 2009 (potrdite c8c3d83, "Dodaj ukaz pkexec(1)").
"Takoj ko je naša raziskovalna skupina potrdila ranljivost, se je Qualys zavezal odgovornemu razkritju ranljivosti ter se uskladil s prodajalci in odprtokodnimi distribucijami, da bi objavil ranljivost."
Težava se pojavi, ko funkcija main(). avtorja pkexec obdelajte argumente ukazne vrstice in da argc je nič. Funkcija še vedno poskuša dostopati do seznama argumentov in na koncu poskuša uporabiti rgvvoid (ARGument vektor nizov argumentov ukazne vrstice). Posledično se pomnilnik prebere in zapiše izven meja, kar lahko napadalec izkoristi za vbrizgavanje spremenljivke okolja, ki lahko povzroči nalaganje poljubne kode.
Dejstvo, da je te spremenljivke mogoče ponovno uvesti, naredi kodo ranljivo. Vsaj tehnika izkoriščanja, ki jo ponuja Qualys (vbrizgavanje spremenljivke GCONV_PATH v okolje pkexec za zagon knjižnice v skupni rabi kot root) pušča sledi v datotekah dnevnika.
Red Hat je v varnostnem nasvetu izdal naslednjo izjavo:
"Red Hat se zaveda ranljivosti, ki jo najdemo v pkexec, ki omogoča overjenemu uporabniku, da izvede napad z dvigom privilegij."
»Glavno tveganje za stranke je možnost, da neprivilegirani uporabnik pridobi skrbniške pravice na prizadetih sistemih. Napadalec mora imeti dostop za prijavo v ciljni sistem, da izvede napad."
Omeniti velja to ranljivost je bila ugotovljena že leta 2013 in je bil podrobno opisan v objavi na spletnem dnevniku, tudi če ni bil zagotovljen noben PoC:
"Lol, o tej ranljivosti v polkitu sem pisal leta 2013. Nisem mogel najti dejanske poti izkoriščanja, vendar sem ugotovil glavni vzrok."
Nazadnje, če vas zanima, da bi to vedeli o tem, si lahko ogledate podrobnosti v naslednja povezava.