Критична уязвимост в PolKit, позволяваща root достъп на повечето Linux дистрибуции

Qualys идентифицира уязвимост (CVE-2021-4034) в системния компонент Polkit (бивш PolicyKit), използван в дистрибуции, за да позволи на непривилегировани потребители да извършват действия, които изискват повишени права за достъп. Уязвимостта позволява на непривилегирован локален потребител да ескалира своите привилегии до root и да получи пълен контрол над системата. Проблемът беше с кодово име PwnKit и се отличава с това, че създава работещ експлойт, който работи в конфигурацията по подразбиране на повечето Linux дистрибуции.

Проблемът присъства в помощната програма pkexec на PolKit, която идва с SUID root флаг и е проектирана да изпълнява команди с привилегиите на друг потребител според посочените правила на PolKit. Поради неправилно обработване на аргументите на командния ред, предадени на pkexec, непривилегирован потребител може да заобиколи удостоверяването и да изпълни своя код като root, независимо от зададените правила за достъп. За атака няма значение какви настройки и ограничения са посочени в PolKit, достатъчно е атрибутът SUID root да бъде зададен за изпълнимия файл с помощната програма pkexec.

Pkexec не проверява валидността на броя на аргументите на командния ред (argc), подаден при стартиране на процес. Разработчиците на pkexec приемат, че първият запис в масива argv винаги съдържа името на процеса (pkexec), а вторият или NULL стойност, или името на командата, стартирана чрез pkexec. Тъй като броят на аргументите не беше проверен спрямо действителното съдържание на масива и се предполагаше, че винаги е по-голям от 1, ако на процес е подаден празен argv масив, както позволява функцията execve на Linux, pkexec ще третира NULL като първи аргумент ( името на процеса) и следващия като извън буферната памет, като последващото съдържание на масива. |———+———+——+————|———+———+——+————| | argv[0] | argv[1] | ... | argv[argc] | envp[0] | envp[1] | ... | envp[envc] | |—-|—-+—-|—-+——+——|——|—-|—-+—-|—-+——+——|——| VVVVVV "програма" "-опция" NULL "стойност" "PATH=име" NULL

Проблемът е, че след масива argv има envp масив в паметта, съдържащ променливи на средата. По този начин, ако масивът argv е празен, pkexec извлича данни за изпълнението на командата с повишени привилегии от първия елемент на масива с променливи на средата (argv[1] стана идентичен с envp[0]), чието съдържание може да се контролира от нападателя.

След като получи стойността на argv[1], pkexec се опитва, като вземе предвид файловите пътища в PATH, да определи пълния път до изпълнимия файл и записва указател към низа с пълния път обратно към argv[1], който води до презаписване на стойността на първата променлива на средата, тъй като argv[ 1] е идентичен на envp [0]. Чрез манипулиране на името на първата променлива на средата, атакуващият може да замени друга променлива на средата в pkexec, например, да замени променливата на средата „LD_PRELOAD“, която не е разрешена в suid програмите, и да уреди тяхната споделена библиотека да бъде заредена в процес.

Работният експлойт включва заместване на променливата GCONV_PATH, която се използва за определяне на пътя до библиотеката за транскодиране на символи, динамично заредена при извикване на функцията g_printerr(), чийто код използва iconv_open(). Чрез предефиниране на пътя в GCONV_PATH, атакуващият може да гарантира, че не е заредена стандартната библиотека iconv, а неговата собствена библиотека, манипулаторите от която ще бъдат изпълнени, когато се покаже съобщение за грешка на етапа, когато pkexec все още работи с правата на root и разрешенията преди стартиране се проверяват.

Отбелязва се, че въпреки факта, че проблемът е причинен от повреда на паметта, той може да бъде надеждно и многократно използван, независимо от използваната хардуерна архитектура. Подготвеният експлойт е успешно тестван на Ubuntu, Debian, Fedora и CentOS, но може да се използва и на други дистрибуции. Оригиналният експлойт все още не е публично достъпен, което показва, че е тривиален и може лесно да бъде пресъздаден от други изследователи, така че е важно да инсталирате актуализацията на корекцията възможно най-скоро на многопотребителски системи. Polkit също е достъпен за BSD системи и Solaris, но не е проучван за използване върху тях. Това, което се знае, е, че атаката не може да бъде извършена върху OpenBSD, тъй като ядрото на OpenBSD не позволява предаването на нулева стойност на argc, когато се извиква execve().

Проблемът съществува от май 2009 г., след добавянето на командата pkexec. Корекцията за уязвимостта на PolKit в момента е налична като кръпка (не е пусната версия на корекция), но тъй като разработчиците на дистрибуция бяха уведомени за проблема предварително, повечето дистрибуции публикуваха актуализацията едновременно с разкриването на информация за уязвимостта. Проблемът е коригиран в RHEL 6/7/8, Debian, Ubuntu, openSUSE, SUSE, Fedora, ALT Linux, ROSA, Gentoo, Void Linux, Arch Linux и Manjaro. Като временна мярка за блокиране на уязвимостта, можете да премахнете SUID root флага от програмата /usr/bin/pkexec (“chmod 0755 /usr/bin/pkexec”).

Източник: opennet.ru