ከማይክሮሶፍት የመጡ የደህንነት ተመራማሪዎች ያልተፈቀደ ተጠቃሚ የዘፈቀደ ትዕዛዞችን ከስር መብቶች ጋር እንዲፈጽም የሚፈቅደውን Nimbuspwn በተባለው በኔትዎርክድ-ላኪ አገልግሎት ውስጥ ሁለት ተጋላጭነቶችን (CVE-2022-29799፣ CVE-2022-29800) ለይተዋል። ጉዳዩ በኔትዎርክድ-ላኪ 2.2 መለቀቅ ላይ ተስተካክሏል። እስካሁን ድረስ በስርጭቶች (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux) ማሻሻያዎችን ስለመታተም ምንም መረጃ የለም.
Networkd-dispatcher በበርካታ የሊኑክስ ስርጭቶች ውስጥ ጥቅም ላይ ይውላል, ኡቡንቱን ጨምሮ, የአውታረ መረብ መለኪያዎችን ለማዋቀር የጀርባ ሂደትን ሲስተምድ-ኔትወርክን ይጠቀማል, እና ከ NetworkManager-dispatcher ጋር ተመሳሳይ ተግባራትን ያከናውናል, ማለትም. የአውታረ መረብ ግንኙነት ሁኔታ ሲቀየር ስክሪፕቶችን በማስጀመር ላይ ተሰማርቷል፣ ለምሳሌ፣ ዋናው የአውታረ መረብ ግንኙነት ከተፈጠረ በኋላ ቪፒኤን ለመክፈት ይጠቅማል።
ከኔትዎርክድ-ላኪ ጋር የተገናኘው የጀርባ ሂደት እንደ ስር የሚሰራ እና የክስተት ምልክቶችን በዲ ባስ በኩል ይቀበላል። በአውታረ መረብ ግንኙነቶች ሁኔታ ላይ ከሚከሰቱ ለውጦች ጋር የተዛመዱ ክስተቶች መረጃ በስርዓተ-አውታረ መረብ አገልግሎት ይላካል። ችግሩ ጥቅም የሌላቸው ተጠቃሚዎች የማይገኝ የስቴት ክስተት ማመንጨት እና ስክሪፕታቸው እንደ ስር እንዲተገበር ማድረግ መቻላቸው ነው።
Systemd-networkd በ/etc/networkd-dispatcher directory ውስጥ የሚገኙትን የስርዓት ተቆጣጣሪ ስክሪፕቶችን ብቻ ለማሄድ የተነደፈ እና ለተጠቃሚ ምትክ የማይደረስ ቢሆንም በፋይል ዱካ ሂደት ኮድ ውስጥ ባለው ተጋላጭነት (CVE-2022-29799) ምክንያት፣ ከወሰን ውጪ የመሠረት ማውጫ እና የዘፈቀደ ስክሪፕቶችን የማስጀመር ዕድል። በተለይም የፋይል ዱካውን ወደ ስክሪፕቱ ሲፈጥሩ በዲ-አውቶብስ በኩል የሚተላለፉ የ OperationalState እና AdministrativeState እሴቶች ጥቅም ላይ ውለው ነበር ፣ በዚህ ውስጥ ልዩ ቁምፊዎች አልተሰረዙም። አጥቂው የራሱን ግዛት ሊያመነጭ ይችላል፣ ስሙም “../” ቁምፊዎችን ይዟል እና የአውታረ መረብ መላኪያ ጥሪን ወደ ሌላ ማውጫ ያዛውራል።
ሁለተኛው ተጋላጭነት (CVE-2022-29800) ከዘር ሁኔታ ጋር የተያያዘ ነው - የስክሪፕት መለኪያዎችን (የሥርወ አካል የሆነውን) በመፈተሽ እና በማስኬድ መካከል ፣ ፋይሉን ለመተካት እና ቼኩን ለማለፍ አጭር ጊዜ ነበር ። ስክሪፕት የስር ተጠቃሚ ነው። በተጨማሪም ፣ የአውታረ መረብ አስተላላፊዎች ምሳሌያዊ አገናኞችን አላጣራም ፣ ስክሪፕቶችን በንዑስ ሂደት ውስጥ ሲያካሂዱ ። የፖፔን ጥሪ ፣ ይህም የጥቃቱን አደረጃጀት ቀላል ያደርገዋል።
የአሰራር ዘዴ;
- ማውጫ “/ tmp/nimbuspwn” እና ምሳሌያዊ አገናኝ “/tmp/nimbuspwn/poc.d” ወደ ማውጫው “/sbin” የሚጠቁም ተፈጥረዋል፣ ይህም በስር የተያዙ ሊተገበሩ የሚችሉ ፋይሎችን ለማረጋገጥ ነው።
- ከ "/ sbin" ለሚሰሩ ፋይሎች, ተመሳሳይ ስም ያላቸው ፋይሎች በ "/ tmp / nimbuspwn" ማውጫ ውስጥ ይፈጠራሉ, ለምሳሌ ለ "/ sbin / vgs" ፋይል "/ tmp / nimbuspwn / vgs" ፋይል ነው. የተፈጠረ፣ ባልተፈቀደ ተጠቃሚ ባለቤትነት የተያዘ፣ አጥቂው ለማስኬድ የሚፈልገው ኮድ የተቀመጠበት።
- በD-Bus በኩል በ OperationalState ውስጥ ያለውን “../../../tmp/nimbuspwn/poc” የሚለውን ዋጋ ወደሚያመለክተው በኔትዎርክ የተከፋፈለው ሂደት ላይ ምልክት ይላካል። በ "org.freedesktop.network1" ስም ቦታ ላይ ምልክት ለመላክ ተቆጣጣሪዎቹን ከሲስተድ-ኔትዎርክ ጋር የማገናኘት ችሎታ ጥቅም ላይ የዋለ ለምሳሌ በጂፒጂቪ ወይም ኢፒኤምዲ በመጠቀም ነው፣ ወይም ደግሞ ሲስተድ-ኔትዎርክ መጠቀሙን መጠቀም ይችላሉ። በነባሪ አይደለም (ለምሳሌ በሊኑክስ ሚንት ላይ)።
- ምልክቱን ከተቀበለ በኋላ Networkd-dispatcher በስር ተጠቃሚው ባለቤትነት የተያዙ እና በማውጫው ውስጥ "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d" ውስጥ የሚገኙ ፋይሎችን ዝርዝር ይገነባል። በትክክል ከ "/ sbin" ጋር የሚያገናኘው.
- የፋይሎች ዝርዝር በደረሰበት ቅጽበት ፣ ግን ስክሪፕቱ ገና አልተጀመረም ፣ ተምሳሌታዊው አገናኝ ከ “/tmp/nimbuspwn/poc.d” ወደ “/tmp/nimbuspwn” ተዘዋውሯል እና networkd-dispatcher ይጀምራል በአጥቂው የተስተናገደው ስክሪፕት ከስር መብቶች ጋር።
ምንጭ: opennet.ru