Ескалацията на привилегии на OpenBSD и удостоверяването заобикалят уязвимостите в smtpd, ldapd и radiusd

Компания Qualys разкри четири уязвимости в OpenBSD, единият от които ви позволява да се свързвате дистанционно без удостоверяване към някои мрежови услуги, а другите три увеличават вашите привилегии в системата. Докладът на Qualys отбеляза бързата реакция на разработчиците на OpenBSD - всички проблеми бяха елиминиран в OpenBSD 6.5 и OpenBSD 6.6 в рамките на 40 часа след лично уведомление.

Дистанционно използваната уязвимост е причинена от грешка при извикване на манипулатора за удостоверяване в библиотеката libc, която извиква
програма /usr/libexec/auth/login_style, предаваща аргументи на командния ред. Включително при извикване на login_style с помощта на незадължителния параметър „-s услуга“, е възможно да се прехвърли името на протокола. Ако използвате знака "-" в началото на потребителско име, това име ще се третира като опция при стартиране на login_style. Съответно, ако посочите „-schallenge“ или „-schallenge:passwd“ като потребителско име по време на удостоверяване, тогава login_style ще възприеме заявката като заявка за използване на манипулатора S/Ключ.

Проблемът е, че протоколът S/Key в login_style се поддържа само формално, но всъщност се игнорира с извеждане на знак за успешно удостоверяване. По този начин нападателят може, представяйки се като потребител „-challenge“, да заобиколи удостоверяването и да получи достъп, без да предоставя парола или ключове. Всички мрежови услуги, които използват стандартни libc извиквания за удостоверяване, са потенциално засегнати от проблема. Например възможността за заобикаляне на удостоверяването се поддържа в smtpd (AUTH PLAIN), ldapd и radiusd.

Уязвимостта не се появява в sshd, тъй като има допълнителна защита, която проверява присъствието на потребителя в системата. Sshd обаче може да се използва за тестване на уязвимостта на системата - при достъп до потребителското име "-sresponse:passwd", връзката увисва, тъй като sshd чака login_passwd да върне параметрите на предизвикателството, а login_passwd чака липсващите параметри да да бъдат изпратени (името "- response" се третира като опция). Локален атакуващ потенциално може да се опита да заобиколи удостоверяването в помощната програма su, но предаването на името "-sresponse" причинява срив на процеса чрез връщане на нулев указател при изпълнение на функцията getpwnam_r("-schallenge", ...).

Други уязвимости:

• CVE-2019-19520 Локално повишаване на привилегиите чрез манипулиране на помощната програма xlock, предоставена с флага sgid, променяща групата на „auth“. В кода на xlock предефинирането на пътища към библиотеки е забранено само когато потребителският идентификатор (setuid) е променен, което позволява на атакуващия да промени променливата на средата „LIBGL_DRIVERS_PATH“ и да организира зареждането на своята споделена библиотека, чийто код ще бъде изпълнен след повишаване на привилегиите на групата „auth“.
• CVE-2019-19522 – Позволява на локален потребител, който е член на групата „auth“, да изпълнява код като root, когато S/Key или YubiKey удостоверяването е активирано в системата (не е активно по подразбиране). Присъединяването към групата „auth“, която може да бъде достъпна чрез използване на гореспоменатата уязвимост в xlock, ви позволява да пишете файлове в директориите /etc/skey и /var/db/yubikey. Например, атакуващият може да добави нов файл /etc/skey/root, за да генерира еднократни ключове за удостоверяване като root потребител чрез S/Key.
• CVE-2019-19519 - възможността за увеличаване на ограниченията на ресурсите чрез манипулиране на помощната програма su. Когато е посочена опцията "-L", която кара опитите за удостоверяване да се повтарят циклично, ако са неуспешни, потребителският клас се задава само веднъж и не се нулира при следващи опити. Нападателят може да изпълни „su -l -L“ при първия опит да въведе данните за вход на някой друг с различен клас акаунт, но при втория опит той може успешно да се удостовери като себе си. В тази ситуация потребителят ще подлежи на ограничения въз основа на потребителския клас, определен при първия опит (например максималния брой процеси или размера на паметта за процес). Методът работи само за заемане на лимити от непривилегировани потребители, тъй като root потребителят трябва да е в групата колела).

Освен това може да се отбележи изпълнение в OpenBSD, нов метод за проверка на валидността на системните извиквания, което допълнително усложнява използването на уязвимости. Методът позволява системните повиквания да се изпълняват само ако се осъществява достъп от предварително регистрирани области на паметта. За маркиране на области от паметта предложено ново системно повикване msyscall().

Източник: opennet.ru