Локални коренни уязвимости в инструментариума за управление на пакети Snap

Qualys идентифицира две уязвимости (CVE-2021-44731, CVE-2021-44730) в помощната програма snap-confine, снабдена с SUID root флаг и извикана от процеса snapd за създаване на изпълнима среда за приложения, доставени в самостоятелни пакети във формат snap. Уязвимостите позволяват на локален непривилегирован потребител да изпълни код с root привилегии в системата. Проблемите са разрешени в днешната актуализация на пакет snapd за Ubuntu 21.10, 20.04 и 18.04.

Първата уязвимост (CVE-2021-44730) позволява атака чрез манипулиране на твърди връзки, но изисква деактивиране на защитата на твърдите връзки на системата (задаване на sysctl fs.protected_hardlinks на 0). Проблемът е причинен от неправилна проверка на местоположението на изпълнимите файлове на помощните програми snap-update-ns и snap-discard-ns, изпълнявани като root. Пътят до тези файлове беше изчислен във функцията sc_open_snapd_tool() въз основа на нейния собствен път от /proc/self/exe, който ви позволява да създадете твърда връзка, която да затворите в директорията си и да поставите свои собствени версии на snap- update-ns и snap- utilities в тази директория discard-ns. След стартиране чрез твърда връзка, snap-confine с root права ще стартира файловете snap-update-ns и snap-discard-ns от текущата директория, заменени от нападателя.

Втората уязвимост е причинена от състояние на състезание и може да бъде използвана в конфигурацията на Ubuntu Desktop по подразбиране. За да работи експлойтът успешно в Ubuntu Server, трябва да изберете един от пакетите от секцията „Избрани сървърни снимки“ при инсталиране. Условието на състезание е очевидно във функцията setup_private_mount(), извикана по време на подготовката на пространството от имена на точката на монтиране за пакета за монтиране. Тази функция създава временна директория „/tmp/snap.$SNAP_NAME/tmp“ или използва съществуваща, за да обвърже монтирани директории за snap пакет в нея.

Тъй като името на временната директория е предсказуемо, атакуващият може да замени нейното съдържание със символна връзка, след като провери собственика, но преди да извика системното повикване за монтиране. Например, можете да създадете символна връзка "/tmp/snap.lxd/tmp" в директорията /tmp/snap.lxd, сочеща към произволна директория, и извикването на mount() ще последва символната връзка и ще монтира директорията в snap namespace. По подобен начин можете да монтирате вашето съдържание в /var/lib и, като замените /var/lib/snapd/mount/snap.snap-store.user-fstab, да организирате монтирането на вашата директория /etc в пространството от имена на пакетът snap, от който да организирате зареждането на вашата библиотека с root права, като замените /etc/ld.so.preload.

Отбелязва се, че създаването на експлойт се оказа нетривиална задача, тъй като помощната програма snap-confine е написана на Go, използвайки техники за защитено програмиране, има защита, базирана на профили на AppArmor, филтрира системните повиквания въз основа на механизма seccomp и използва пространството от имена на монтиране за изолация. Изследователите обаче успяха да подготвят работещ експлойт за получаване на root права в системата. Експлойт кодът ще бъде публикуван след няколко седмици, след като потребителите инсталират предоставените актуализации.

Източник: opennet.ru