smtpd, ldapd এবং radiusd-এ OpenBSD প্রিভিলেজ বৃদ্ধি এবং প্রমাণীকরণ বাইপাস দুর্বলতা

কোয়ালিস কোম্পানি প্রকাশিত চার দুর্বলতা ওপেনবিএসডি-তে, যার মধ্যে একটি প্রমাণীকরণ ছাড়াই নির্দিষ্ট নেটওয়ার্ক পরিষেবাগুলিতে দূরবর্তী সংযোগের অনুমতি দেয়, যখন অন্য তিনটি সিস্টেমে বিশেষাধিকার বৃদ্ধির সুযোগ দেয়। কোয়ালিস রিপোর্টে ওপেনবিএসডি ডেভেলপারদের দ্রুত প্রতিক্রিয়ার কথা উল্লেখ করা হয়েছে—সমস্ত সমস্যার সমাধান করা হয়েছিল। নির্মূল в ওপেনবিএসডি 6.5 и ওপেনবিএসডি 6.6 ব্যক্তিগতভাবে জানানোর ৪০ ঘণ্টার মধ্যে।

libc লাইব্রেরিতে অথেনটিকেশন হ্যান্ডলারকে কল করার পদ্ধতিতে একটি ত্রুটির কারণে এই দূরবর্তীভাবে ব্যবহারযোগ্য দুর্বলতাটি সৃষ্টি হয়, যার ফলে...
/usr/libexec/auth/login_style প্রোগ্রামটি কমান্ড লাইনে আর্গুমেন্ট পাস করে। ঐচ্ছিক "-s service" প্যারামিটার ব্যবহার করে login_style কল করার সময় প্রোটোকলের নাম পাস করা যেতে পারে। যদি ইউজারনেমের শুরুতে "-" চিহ্নটি ব্যবহার করা হয়, তাহলে login_style শুরু করার সময় এই নামটি একটি অপশন হিসেবে বিবেচিত হবে। সেই অনুযায়ী, যদি আপনি অথেনটিকেশনের সময় ইউজারনেম হিসেবে "-schallenge" বা "-schallenge:passwd" উল্লেখ করেন, তাহলে login_style অনুরোধটিকে হ্যান্ডলার ব্যবহারের অনুরোধ হিসেবে বিবেচনা করবে। এস/কী.

সমস্যাটি হলো, login_style-এ S/Key প্রোটোকলটি শুধুমাত্র নামমাত্র সমর্থিত, কিন্তু একটি সফল অথেনটিকেশন ফ্ল্যাগ থাকলে এটি কার্যত উপেক্ষা করা হয়। ফলে, একজন আক্রমণকারী "-challenge" ব্যবহারকারীর ছদ্মবেশ ধারণ করে অথেনটিকেশন বাইপাস করতে পারে এবং পাসওয়ার্ড বা কী প্রদান না করেই অ্যাক্সেস পেতে পারে। যে সমস্ত নেটওয়ার্ক পরিষেবা অথেনটিকেশনের জন্য স্ট্যান্ডার্ড libc কল ব্যবহার করে, সেগুলি এই সমস্যার জন্য সম্ভাব্যভাবে ঝুঁকিপূর্ণ। উদাহরণস্বরূপ, smtpd (AUTH PLAIN), ldapd, এবং radiusd-এ অথেনটিকেশন বাইপাস করার সম্ভাবনা নিশ্চিত করা হয়েছে।

এই দুর্বলতাটি sshd-তে প্রকাশ পায় না, কারণ ব্যবহারকারী লগ ইন করেছেন কিনা তা পরীক্ষা করার মাধ্যমে এটি অতিরিক্ত সুরক্ষা প্রদান করে। তবে, একটি সিস্টেমের দুর্বলতা পরীক্ষা করার জন্য sshd ব্যবহার করা যেতে পারে—যখন "-sresponse:passwd" ইউজারনেমটি অ্যাক্সেস করা হয়, তখন সংযোগটি আটকে যায়, কারণ sshd, login_passwd-এর চ্যালেঞ্জ প্যারামিটারগুলো ফেরত দেওয়ার জন্য অপেক্ষা করে, অন্যদিকে login_passwd অনুপস্থিত প্যারামিটারগুলো পাস হওয়ার জন্য অপেক্ষা করে (এখানে "-sresponse" নামটি একটি অপশন হিসেবে গণ্য করা হয়)। একজন স্থানীয় আক্রমণকারী সম্ভবত su ইউটিলিটিতে অথেনটিকেশন বাইপাস করার চেষ্টা করতে পারে, কিন্তু "-sresponse" নামটি পাস করলে getpwnam_r("-schallenge", ...) ফাংশনটি চালানোর সময় একটি নাল পয়েন্টার ফেরত আসার কারণে প্রসেসটি ক্র্যাশ করে।

অন্যান্য দুর্বলতা:

• CVE-2019-19520 — xlock ইউটিলিটি ম্যানিপুলেশনের মাধ্যমে লোকাল প্রিভিলেজ এসকেলেশন, যা sgid ফ্ল্যাগের সাথে সরবরাহ করা হয় এবং গ্রুপকে "auth"-এ পরিবর্তন করে দেয়। xlock কোডে, লাইব্রেরি পাথ রিডেফিনেশন শুধুমাত্র তখনই নিষ্ক্রিয় থাকে যখন ইউজার আইডেন্টিফায়ার (setuid) পরিবর্তন করা হয়। এর ফলে একজন আক্রমণকারী "LIBGL_DRIVERS_PATH" এনভায়রনমেন্ট ভেরিয়েবল পরিবর্তন করে তাদের নিজস্ব শেয়ার্ড লাইব্রেরি লোড করতে পারে, যার কোড "auth" গ্রুপে প্রিভিলেজ এসকেলেশনের পর এক্সিকিউট হবে।
• CVE-2019-19522 – এই দুর্বলতার কারণে "auth" গ্রুপের একজন স্থানীয় ব্যবহারকারী সিস্টেমে S/Key বা YubiKey অথেন্টিকেশন চালু থাকলে (যা ডিফল্টরূপে চালু থাকে না) রুট প্রিভিলেজ সহ কোড এক্সিকিউট করতে পারে। xlock-এর পূর্বোক্ত দুর্বলতা কাজে লাগিয়ে "auth" গ্রুপে অ্যাক্সেস পাওয়া যায়, যা /etc/skey এবং /var/db/yubikey ডিরেক্টরিতে ফাইল লেখার সুযোগ করে দেয়। উদাহরণস্বরূপ, একজন আক্রমণকারী রুট ব্যবহারকারী হিসেবে S/Key অথেন্টিকেশনের জন্য ওয়ান-টাইম কী তৈরি করতে /etc/skey/root-এ একটি নতুন ফাইল যোগ করতে পারে।
• CVE-2019-19519 — su ইউটিলিটি ম্যানিপুলেশনের মাধ্যমে রিসোর্স লিমিট বাড়ানোর সম্ভাবনা। যখন "-L" অপশনটি নির্দিষ্ট করা হয়, যা ব্যর্থ হলে বারবার অথেনটিকেশন চেষ্টার একটি লুপ তৈরি করে, তখন ইউজার ক্লাস শুধুমাত্র একবার সেট করা হয় এবং পরবর্তী চেষ্টায় তা রিসেট হয় না। একজন আক্রমণকারী "su -l -L" এক্সিকিউট করে প্রথম চেষ্টায় ভিন্ন অ্যাকাউন্ট ক্লাসসহ অন্য কারো লগইনে প্রবেশ করতে পারে, কিন্তু দ্বিতীয় চেষ্টায় সফলভাবে অথেনটিকেট করতে পারে। এই পরিস্থিতিতে, ব্যবহারকারীকে প্রথম চেষ্টায় নির্দিষ্ট করা ইউজার ক্লাসের সাথে সঙ্গতিপূর্ণ লিমিট বরাদ্দ করা হবে (উদাহরণস্বরূপ, প্রসেসের সর্বোচ্চ সংখ্যা বা প্রতি প্রসেসের মেমরি সাইজ)। এই পদ্ধতিটি শুধুমাত্র আনপ্রিভিলেজড ব্যবহারকারীদের থেকে লিমিট ধার করার জন্য কাজ করে, কারণ রুট ব্যবহারকারীর জন্য wheel গ্রুপের সদস্যপদ প্রয়োজন।

উপরন্তু, এটা উল্লেখ করা যেতে পারে বাস্তবায়ন OpenBSD সিস্টেম কলের বৈধতা যাচাই করার জন্য একটি নতুন পদ্ধতি চালু করেছে, যা এক্সপ্লয়টেশনকে আরও জটিল করে তুলেছে। এই পদ্ধতি অনুযায়ী, সিস্টেম কলগুলো কেবল তখনই কার্যকর করা যায়, যখন সেগুলোকে আগে থেকে রেজিস্টার করা মেমরি অঞ্চল থেকে অ্যাক্সেস করা হয়। মেমরি অঞ্চল চিহ্নিত করার জন্য, প্রস্তাবিত নতুন সিস্টেম কল msyscall().

উত্স: opennet.ru