تم التعرف على ثغرة أمنية (CVE-2022-31214) في أداة عزل تطبيق Firejail التي تسمح للمستخدم المحلي بالحصول على امتيازات الجذر على النظام المضيف. هناك برمجية استغلال متاحة في المجال العام، وتم اختبارها في الإصدارات الحالية من openSUSE وDebian وArch وGentoo وFedora مع تثبيت أداة الحماية من الحرائق. تم إصلاح المشكلة في إصدار firejail 0.9.70. كحل بديل للحماية، يمكنك تعيين معلمات "join no" و"force-nonewprivs Yes" في الإعدادات (/etc/firejail/firejail.config).
يستخدم Firejail مساحات الأسماء، وAppArmor، وتصفية مكالمات النظام (seccomp-bpf) في Linux للعزل، ولكنه يتطلب امتيازات مرتفعة لإعداد التنفيذ المعزول، والذي يكتسبه من خلال الارتباط بعلامة الأداة المساعدة suid root أو التشغيل باستخدام sudo. سبب الثغرة الأمنية هو خطأ في منطق الخيار "--الانضمام =". "، مخصص للاتصال ببيئة معزولة قيد التشغيل بالفعل (مماثلة لأمر تسجيل الدخول لبيئة الحماية) مع تعريف البيئة من خلال معرف العملية التي تعمل فيها. أثناء مرحلة إعادة تعيين الامتيازات المسبقة، يحدد firejail امتيازات العملية المحددة ويطبقها على العملية الجديدة المرتبطة بالبيئة باستخدام خيار "-join".
قبل الاتصال، يتحقق ما إذا كانت العملية المحددة قيد التشغيل في بيئة Firejail. يقوم هذا الفحص بتقييم وجود الملف /run/firejail/mnt/join. لاستغلال الثغرة الأمنية، يمكن للمهاجم محاكاة بيئة Firejail وهمية وغير معزولة باستخدام مساحة اسم التحميل، ثم الاتصال بها باستخدام خيار "--الانضمام". إذا لم تقم الإعدادات بتمكين وضع حظر الحصول على امتيازات إضافية في العمليات الجديدة (prctl NO_NEW_PRIVS)، فسيقوم firejail بتوصيل المستخدم ببيئة وهمية ومحاولة تطبيق إعدادات مساحة اسم المستخدم لعملية init (PID 1).
ونتيجة لذلك، ستنتهي العملية المتصلة عبر "firejail –join" في مساحة اسم معرف المستخدم الأصلية للمستخدم مع امتيازات لم تتغير، ولكن في مساحة نقطة تثبيت مختلفة، يتحكم فيها المهاجم بالكامل. يمكن للمهاجم أيضًا تنفيذ برامج setuid-root في مساحة نقطة التحميل التي أنشأها، مما يسمح، على سبيل المثال، بتغيير إعدادات /etc/sudoers أو معلمات PAM في التسلسل الهرمي للملفات الخاصة به والقدرة على تنفيذ الأوامر باستخدام حقوق الجذر باستخدام sudo أو المرافق سو.
المصدر: opennet.ru