Кілька днів тому про це з’явилася новина Дослідницька група Qualys виявила уразливість до пошкодження пам’яті в polkit pkexec, коренева програма SUID, яка встановлена за замовчуванням у всіх основних дистрибутивах Linux.
Ця вразливість легко експлуатуватися дозволив будь-якому непривілейованому користувачеві отримати повні привілеї root на вразливому хості, використовуючи цю вразливість у конфігурації за замовчуванням.
polkit (раніше відомий як PolicyKit) є компонентом для загальносистемного контролю привілеїв на Unix-подібних операційних системах. Він забезпечує організований спосіб зв’язку непривілейованих процесів із привілейованими процесами, а також можна використовувати polkit для запуску команд з підвищеними привілеями за допомогою команди pkexec, а потім команди, яку потрібно запустити (з дозволом root).
Про вразливість
Вразливість лежить у pkexec, нюанси ваш код містить помилку обробки вказівника, деякі з яких в кінцевому підсумку посилаються на області пам’яті, які не повинні. Використовуючи цей недолік, можна майже миттєво отримати права адміністратора.
Занесена до категорії CVE-2021-4034, ця вразливість отримала оцінку CVSS 7,8, і команда Qualys пояснила в блозі, що:
Помилка pkexec відкриває зловмиснику двері для отримання прав root. Дослідники Qualys, за його словами, продемонстрували експлуатацію стандартних установок Ubuntu, Debian, Fedora і CentOS, а інші дистрибутиви Linux також вважаються вразливими.
«Успішне використання цієї вразливості дозволяє будь-якому непривілейованому користувачеві отримати привілеї root на вразливому хості. Дослідники безпеки Qualys змогли незалежно перевірити вразливість, розробити експлойт та отримати повні права root на стандартних установках Ubuntu, Debian, Fedora та CentOS. Інші дистрибутиви Linux, ймовірно, є вразливими та придатними для експлуатації. Ця вразливість була прихована понад 12 років і впливає на всі версії pkexec з моменту його першого випуску в травні 2009 року (підтвердьте c8c3d83, «Додати команду pkexec(1)»).
«Як тільки наша дослідницька група підтвердила вразливість, Qualys взялася за відповідальне розкриття вразливості та скоординувала роботу з постачальниками та дистрибутивами з відкритим кодом, щоб оголосити про вразливість».
Проблема виникає, коли функція main(). від pkexec обробляти аргументи командного рядка і argc дорівнює нулю. Функція все ще намагається отримати доступ до списку аргументів і в кінцевому підсумку намагається використовувати rgvvoid (Вектор ARGument рядків аргументів командного рядка). В результаті пам’ять зчитується і записується поза межами, що зловмисник може використати для введення змінної середовища, яка може спричинити завантаження довільного коду.
Той факт, що ці змінні можуть бути повторно введені, робить код вразливим. Принаймні техніка експлуатації, яку пропонує Qualys (введення змінної GCONV_PATH в середовище pkexec для запуску спільної бібліотеки як root), залишає сліди у файлах журналів.
У повідомленні з безпеки Red Hat опублікувала таку заяву:
"Red Hat знає про вразливість, знайдену в pkexec, яка дозволяє автентифікованому користувачеві здійснювати атаку з підвищенням привілеїв."
«Основний ризик для клієнтів полягає в тому, що непривілейований користувач може отримати адміністративні привілеї в уражених системах. Зловмисник повинен мати доступ до цільової системи, щоб здійснити атаку».
Варто зазначити це уразливість було виявлено ще в 2013 році і було детально описано в дописі в блозі, навіть якщо PoC не було надано:
«Лол, я писав про цю вразливість polkit у 2013 році. Я не зміг знайти фактичний шлях експлойту, але я визначив першопричину».
Нарешті, якщо ви зацікавлені в тому, щоб дізнатися про це, ви можете ознайомитися з деталями в наступне посилання.