Уязвимост в firejail, позволяваща root достъп до системата

Беше идентифицирана уязвимост (CVE-2022-31214) в помощната програма за изолиране на приложения Firejail, която позволява на локален потребител да получи root права на хост системата. Има работещ експлойт, наличен в публичното пространство, тестван в текущи версии на openSUSE, Debian, Arch, Gentoo и Fedora с инсталирана помощна програма firejail. Проблемът е коригиран в изданието firejail 0.9.70. Като заобиколно решение за защита можете да зададете параметрите „join no“ и „force-nonewprivs yes“ в настройките (/etc/firejail/firejail.config).

Firejail използва пространства от имена, AppArmor и филтриране на системни повиквания (seccomp-bpf) в Linux за изолация, но изисква повишени привилегии, за да настрои изолирано изпълнение, което получава чрез свързване към флага на помощната програма suid root или работа със sudo. Уязвимостта е причинена от грешка в логиката на опцията „--join=“. ", предназначен за свързване към вече работеща изолирана среда (аналогично на командата за влизане в пясъчна среда) с дефинирането на средата чрез идентификатора на процеса, работещ в нея. По време на фазата преди нулиране на привилегиите, firejail определя привилегиите на посочения процес и ги прилага към новия процес, който е свързан към средата с помощта на опцията „-join“.

Преди да се свърже, той проверява дали посоченият процес се изпълнява в средата на firejail. Тази проверка оценява наличието на файла /run/firejail/mnt/join. За да се възползва от уязвимостта, атакуващият може да симулира фиктивна, неизолирана среда на firejail, използвайки пространството от имена на монтиране, и след това да се свърже с него чрез опцията „--join“. Ако настройките не активират режима за забрана на придобиването на допълнителни привилегии в нови процеси (prctl NO_NEW_PRIVS), firejail ще свърже потребителя към фиктивна среда и ще се опита да приложи настройките на потребителското пространство от имена на процеса на стартиране (PID 1).

В резултат на това процесът, свързан чрез „firejail –join“, ще завърши в пространството на имената на оригиналния потребителски идентификатор на потребителя с непроменени привилегии, но в различно пространство на точката на монтиране, напълно контролирано от нападателя. Атакуващият може също така да изпълни програми с setuid-root в пространството на точката на монтиране, което е създал, което позволява например промяна на настройките на /etc/sudoers или PAM параметрите в неговата файлова йерархия и да може да изпълнява команди с root права, използвайки sudo или су комунални услуги.

Източник: opennet.ru