smtpd, ldapd এবং radiusd-এ OpenBSD প্রিভিলেজ বৃদ্ধি এবং প্রমাণীকরণ বাইপাস দুর্বলতা

কোয়ালিস কোম্পানি প্রকাশিত চার দুর্বলতা ওপেনবিএসডি-তে, যার একটি আপনাকে কিছু নেটওয়ার্ক পরিষেবার সাথে প্রমাণীকরণ ছাড়াই দূরবর্তীভাবে সংযোগ করতে দেয় এবং অন্য তিনটি সিস্টেমে আপনার সুবিধা বাড়ায়। কোয়ালিস রিপোর্টে ওপেনবিএসডি বিকাশকারীদের দ্রুত প্রতিক্রিয়া উল্লেখ করা হয়েছে - সমস্ত সমস্যা ছিল নির্মূল в ওপেনবিএসডি 6.5 и ওপেনবিএসডি 6.6 ব্যক্তিগত বিজ্ঞপ্তির 40 ঘন্টার মধ্যে।

দূরবর্তীভাবে শোষণযোগ্য দুর্বলতা libc লাইব্রেরিতে প্রমাণীকরণ হ্যান্ডলারকে কল করার একটি ত্রুটির কারণে ঘটে, যা কল করে
প্রোগ্রাম /usr/libexec/auth/login_style কমান্ড লাইনে আর্গুমেন্ট পাস করে। ঐচ্ছিক প্যারামিটার “-s পরিষেবা” ব্যবহার করে login_style কল করার সময় সহ, প্রোটোকলের নাম স্থানান্তর করা সম্ভব। যদি আপনি একটি ব্যবহারকারীর নামের শুরুতে একটি "-" অক্ষর ব্যবহার করেন, login_style চালানোর সময় এই নামটিকে একটি বিকল্প হিসাবে বিবেচনা করা হবে। তদনুসারে, আপনি যদি প্রমাণীকরণের সময় ব্যবহারকারীর নাম হিসাবে "-schallenge" বা "-schallenge:passwd" উল্লেখ করেন, তাহলে লগইন_স্টাইল হ্যান্ডলার ব্যবহার করার অনুরোধ হিসাবে অনুরোধটি উপলব্ধি করবে এস/কী.

সমস্যা হল login_style-এ S/Key প্রোটোকল শুধুমাত্র আনুষ্ঠানিকভাবে সমর্থিত, কিন্তু সফল প্রমাণীকরণের চিহ্নের আউটপুট দিয়ে আসলে উপেক্ষা করা হয়। এইভাবে, একজন আক্রমণকারী, ব্যবহারকারীকে "-চ্যালেঞ্জ" হিসাবে জাহির করে, প্রমাণীকরণ বাইপাস করতে পারে এবং পাসওয়ার্ড বা কী প্রদান না করেই অ্যাক্সেস পেতে পারে। প্রমাণীকরণের জন্য স্ট্যান্ডার্ড libc কল ব্যবহার করে এমন সমস্ত নেটওয়ার্ক পরিষেবা সম্ভাব্যভাবে সমস্যা দ্বারা প্রভাবিত হয়। উদাহরণস্বরূপ, প্রমাণীকরণ বাইপাস করার ক্ষমতা smtpd (AUTH PLAIN), ldapd এবং radiusd-এ সমর্থিত।

দুর্বলতা sshd-এ প্রদর্শিত হয় না, কারণ এতে অতিরিক্ত সুরক্ষা রয়েছে যা সিস্টেমে ব্যবহারকারীর উপস্থিতি পরীক্ষা করে। যাইহোক, sshd একটি সিস্টেমের দুর্বলতা পরীক্ষা করতে ব্যবহার করা যেতে পারে - যখন ব্যবহারকারীর নাম "-sresponse:passwd" অ্যাক্সেস করা হয়, তখন সংযোগ হ্যাং হয়ে যায়, যেহেতু sshd চ্যালেঞ্জ প্যারামিটারগুলি ফেরত দেওয়ার জন্য login_passwd-এর জন্য অপেক্ষা করছে, এবং login_passwd অনুপস্থিত পরামিতিগুলির জন্য অপেক্ষা করছে পাঠানো হবে (নাম "- sresponse" একটি বিকল্প হিসাবে বিবেচনা করা হয়)। একজন স্থানীয় আক্রমণকারী সম্ভাব্যভাবে su ইউটিলিটিতে প্রমাণীকরণ বাইপাস করার চেষ্টা করতে পারে, কিন্তু "-sresponse" নামটি পাস করার ফলে getpwnam_r("-schallenge", ...) ফাংশনটি চালানোর সময় একটি নাল পয়েন্টার ফেরত দিয়ে প্রক্রিয়াটি ক্র্যাশ হয়ে যায়।

অন্যান্য দুর্বলতা:

• CVE-2019-19520 গোষ্ঠীটিকে "প্রমাণ" তে পরিবর্তন করে sgid পতাকার সাথে সরবরাহ করা xlock ইউটিলিটি ম্যানিপুলেশনের মাধ্যমে স্থানীয় বিশেষাধিকার বৃদ্ধি। xlock কোডে, লাইব্রেরির পথ পুনরায় সংজ্ঞায়িত করা শুধুমাত্র তখনই নিষিদ্ধ যখন ব্যবহারকারী শনাক্তকারী (setuid) পরিবর্তন করা হয়, যা আক্রমণকারীকে পরিবেশ পরিবর্তনশীল “LIBGL_DRIVERS_PATH” পরিবর্তন করতে এবং তার ভাগ করা লাইব্রেরির লোডিং সংগঠিত করতে দেয়, যার কোডটি কার্যকর করা হবে। "প্রমাণ" গোষ্ঠীতে বিশেষাধিকার উত্থাপন করার পরে।
• CVE-2019-19522 - যখন সিস্টেমে S/Key বা YubiKey প্রমাণীকরণ সক্ষম করা থাকে (ডিফল্টরূপে সক্রিয় নয়) তখন স্থানীয় ব্যবহারকারীকে "প্রমাণ" গোষ্ঠীর সদস্য হিসাবে কোড চালানোর অনুমতি দেয়৷ "auth" গোষ্ঠীতে যোগদান করা, যা xlock-এ উপরে-উল্লেখিত দুর্বলতাকে কাজে লাগিয়ে অ্যাক্সেস করা যেতে পারে, আপনাকে /etc/skey এবং /var/db/yubikey ডিরেক্টরিতে ফাইল লেখার অনুমতি দেয়। উদাহরণস্বরূপ, একজন আক্রমণকারী S/Key এর মাধ্যমে রুট ব্যবহারকারী হিসাবে প্রমাণীকরণের জন্য এককালীন কী তৈরি করতে একটি নতুন ফাইল /etc/skey/root যোগ করতে পারে।
• CVE-2019-19519 - su ইউটিলিটি ম্যানিপুলেশনের মাধ্যমে সম্পদের সীমা বাড়ানোর সম্ভাবনা। যখন "-L" বিকল্পটি নির্দিষ্ট করা হয়, যার ফলে প্রমাণীকরণের প্রচেষ্টা চক্রাকারে পুনরাবৃত্তি করা হয় যদি ব্যর্থ হয়, ব্যবহারকারী শ্রেণীটি শুধুমাত্র একবার সেট করা হয় এবং পরবর্তী প্রচেষ্টায় পুনরায় সেট করা হয় না। একজন আক্রমণকারী একটি ভিন্ন অ্যাকাউন্ট ক্লাসের সাথে অন্য কারো লগইন প্রবেশের প্রথম প্রচেষ্টায় "su -l -L" চালাতে পারে, কিন্তু দ্বিতীয় প্রচেষ্টায় সে সফলভাবে নিজের হিসাবে প্রমাণীকরণ করতে পারে। এই পরিস্থিতিতে, ব্যবহারকারী প্রথম প্রচেষ্টায় নির্দিষ্ট ব্যবহারকারী শ্রেণীর উপর ভিত্তি করে সীমাবদ্ধ হবেন (উদাহরণস্বরূপ, একটি প্রক্রিয়ার জন্য সর্বাধিক সংখ্যা বা মেমরির আকার)। পদ্ধতিটি শুধুমাত্র সুবিধাবিহীন ব্যবহারকারীদের কাছ থেকে ধার নেওয়ার সীমার জন্য কাজ করে, যেহেতু রুট ব্যবহারকারীকে অবশ্যই হুইল গ্রুপে থাকতে হবে)।

উপরন্তু, এটা উল্লেখ করা যেতে পারে বাস্তবায়ন OpenBSD-তে, সিস্টেম কলের বৈধতা পরীক্ষা করার জন্য একটি নতুন পদ্ধতি, যা দুর্বলতার শোষণকে আরও জটিল করে তোলে। পদ্ধতিটি সিস্টেম কলগুলিকে শুধুমাত্র তখনই কার্যকর করার অনুমতি দেয় যদি সেগুলি পূর্বে নিবন্ধিত মেমরি অঞ্চল থেকে অ্যাক্সেস করা হয়। মেমরি এলাকা চিহ্নিত করতে প্রস্তাবিত নতুন সিস্টেম কল msyscall().

উত্স: opennet.ru