Một vài ngày trước, tin tức đã phá vỡ rằng Nhóm nghiên cứu Qualys đã phát hiện ra lỗ hổng hỏng bộ nhớ trong polkit pkexec, một chương trình SUID gốc được cài đặt theo mặc định trên tất cả các bản phân phối Linux chính.
Lỗ hổng này dễ dàng khai thác cho phép bất kỳ người dùng không có đặc quyền nào có được đặc quyền root đầy đủ trên một máy chủ dễ bị tấn công bằng cách khai thác lỗ hổng này trong cấu hình mặc định của nó.
polkit (trước đây gọi là PolicyKit) là một thành phần để kiểm soát đặc quyền trên toàn hệ thống trên hệ điều hành giống Unix. Nó cung cấp một cách có tổ chức để các quy trình không có đặc quyền giao tiếp với các quy trình đặc quyền, ngoài ra nó cũng có thể sử dụng polkit để chạy các lệnh có đặc quyền nâng cao bằng cách sử dụng lệnh pkexec theo sau lệnh mà nó dự định chạy (với quyền root).
Về lỗ hổng
Lỗ hổng nằm trong pkexec, vậy mã của bạn có lỗi xử lý con trỏ, một số trong đó kết thúc tham chiếu các vùng bộ nhớ không nên. Bằng cách khai thác lỗ hổng này, có thể đạt được đặc quyền của quản trị viên gần như ngay lập tức.
Được phân loại là CVE-2021-4034, lỗ hổng bảo mật nhận được điểm CVSS là 7,8 và nhóm Qualys đã giải thích trong một bài đăng trên blog rằng:
Lỗ hổng pkexec mở ra cánh cửa dẫn đến các đặc quyền root cho kẻ tấn công. Ông cho biết, các nhà nghiên cứu của Qualys đã cho thấy việc khai thác các bản cài đặt mặc định của Ubuntu, Debian, Fedora và CentOS, và các bản phân phối Linux khác cũng được cho là dễ bị tấn công.
“Việc khai thác thành công lỗ hổng này cho phép bất kỳ người dùng không có đặc quyền nào cũng có được đặc quyền root trên máy chủ dễ bị tấn công. Các nhà nghiên cứu bảo mật của Qualys đã có thể xác minh độc lập lỗ hổng, phát triển cách khai thác và có được toàn quyền root trên các bản cài đặt mặc định của Ubuntu, Debian, Fedora và CentOS. Các bản phân phối Linux khác có thể dễ bị tấn công và có thể bị khai thác. Lỗ hổng này đã bị ẩn hơn 12 năm và ảnh hưởng đến tất cả các phiên bản của pkexec kể từ lần phát hành đầu tiên vào tháng 2009 năm 8 (xác nhận c3c83d1, "Thêm lệnh pkexec (XNUMX)").
"Ngay sau khi nhóm nghiên cứu của chúng tôi xác nhận lỗ hổng, Qualys đã cam kết tiết lộ lỗ hổng có trách nhiệm và phối hợp với các nhà cung cấp và phân phối mã nguồn mở để công bố lỗ hổng."
Sự cố xảy ra khi hàm main () bởi pkexec xử lý đối số dòng lệnh và argc bằng không. Hàm vẫn cố gắng truy cập danh sách đối số và kết thúc bằng cách sử dụng một rgvoid (Véc tơ ARGument của chuỗi đối số dòng lệnh). Kết quả là, bộ nhớ được đọc và ghi ngoài giới hạn, mà kẻ tấn công có thể khai thác để đưa vào một biến môi trường có thể khiến mã tùy ý được tải.
Thực tế là các biến này có thể được giới thiệu lại làm cho mã dễ bị tấn công. Ít nhất thì kỹ thuật khai thác do Qualys đưa ra (đưa biến GCONV_PATH vào môi trường pkexec để chạy thư viện được chia sẻ dưới dạng root) để lại dấu vết trong tệp nhật ký.
Trong một lời khuyên bảo mật, Red Hat đã đưa ra tuyên bố sau:
"Red Hat biết về một lỗ hổng được tìm thấy trong pkexec cho phép người dùng đã xác thực thực hiện một cuộc tấn công nâng cao đặc quyền."
“Rủi ro chính đối với khách hàng là khả năng người dùng không có đặc quyền đạt được đặc quyền quản trị trên các hệ thống bị ảnh hưởng. Kẻ tấn công phải có quyền truy cập đăng nhập vào hệ thống mục tiêu để thực hiện cuộc tấn công. "
điều đáng nói là lỗ hổng bảo mật đã được xác định vào năm 2013 và đã được mô tả chi tiết trong một bài đăng trên blog, ngay cả khi không có PoC nào được cung cấp:
"Lol, tôi đã viết về lỗ hổng polkit này vào năm 2013. Tôi không thể tìm thấy đường dẫn khai thác thực tế, nhưng tôi đã xác định được nguyên nhân gốc rễ."
Cuối cùng, nếu bạn quan tâm đến việc có thể biết điều đó, bạn có thể tham khảo thông tin chi tiết trong liên kết theo dõi.