Уязвимость в pppd и lwIP, позволяющая удалённо выполнить код с правами root

В пакете pppd выявлена уязвимость (CVE-2020-8597), позволяющая выполнить свой код через отправку специально оформленных запросов на аутентификацию к системам, использующим протокол PPP (Point-to-Point Protocol) или PPPoE (PPP over Ethernet). Данные протоколы обычно применяются провайдерами для организации подключения через Ethernet или DSL, а также используются в некоторых VPN (например, pptpd и openfortivpn). Для проверки подверженности своих систем проблеме подготовлен прототип эксплоита.

Уязвимость вызвана переполнением буфера в реализации протокола аутентификации EAP (Extensible Authentication Protocol). Атака может быть совершена на стадии до прохождения аутентификации через отправку пакета с типом EAPT_MD5CHAP, включающим очень длинное имя хоста, не вмещающиеся в выделенный буфер. Из-за ошибки в коде проверки размера поля rhostname, атакующий может перезаписать данные за пределами буфера в стеке и добиться удалённого выполнения своего кода с правами root. Уязвимость проявляется на стороне сервера и клиента, т.е. может быть атакован не только сервер, но и клиент, пытающийся подключиться к серверу, подконтрольному атакующему (например, злоумышленник может вначале взломать через уязвимость сервер, а потом начать поражать подключающихся клиентов).

Проблема затрагивает версии pppd с 2.4.2 по 2.4.8 включительно и устранена в форме патча. Уязвимость также затрагивает стек lwIP, но в конфигурации по умолчанию в lwIP поддержка EAP не включена.

Статус устранения проблемы в дистрибутивах можно посмотреть на данных страницах: Debian, Ubuntu, RHEL, Fedora, SUSE, OpenWRT, Arch, NetBSD. В RHEL, OpenWRT и SUSE пакет pppd собран с включением защиты «Stack Smashing Protection» (режим «-fstack-protector» в gcc), что ограничивает эксплуатацию крахом. Кроме дистрибутивов уязвимость также подтверждена в некоторых продуктах Cisco (CallManager), TP-LINK и Synology (DiskStation Manager, VisualStation VS960HD и Router Manager), использующих код pppd или lwIP.

Источник: opennet.ru