🥇 OpenSMTPD-তে দুর্বলতা যা আপনাকে দূরবর্তী এবং স্থানীয়ভাবে রুট অধিকার লাভ করতে দেয়

কোয়ালিস কোম্পানি প্রকাশিত মেইল সার্ভারে আরেকটি দূরবর্তী জটিল দুর্বলতা (CVE-2020-8794) OpenSMTPD, OpenBSD প্রজেক্ট দ্বারা বিকশিত। জানুয়ারির শেষের দিকে চিহ্নিত একটির মতো দুর্বলতা, একটি নতুন সমস্যা রুট ব্যবহারকারী অধিকার সহ সার্ভারে নির্বিচারে শেল কমান্ডগুলি দূরবর্তীভাবে চালানো সম্ভব করে তোলে। দুর্বলতা নির্মূল ইস্যুতে OpenSMTPD 6.6.4p1.

সমস্যাটি কোডে একটি বাগ দ্বারা সৃষ্ট হয় যা দূরবর্তী মেল সার্ভারে মেল বিতরণ করে (আগত সংযোগগুলি পরিচালনা করে এমন কোডে নয়)। আক্রমণ ক্লায়েন্ট সাইড এবং সার্ভার উভয় দিকেই সম্ভব। ক্লায়েন্টের দিকে, OpenSMTPD-এর ডিফল্ট কনফিগারেশনে আক্রমণ সম্ভব, যেখানে OpenSMTPD শুধুমাত্র অভ্যন্তরীণ নেটওয়ার্ক ইন্টারফেসে (স্থানীয় হোস্ট) অনুরোধ গ্রহণ করে এবং বহিরাগত সার্ভারগুলিতে মেল বার্তা পাঠায়। দুর্বলতাকে কাজে লাগানোর জন্য, এটি যথেষ্ট যে, একটি চিঠি প্রদানের সময়, OpenSMTPD আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি মেল সার্ভারের সাথে একটি সেশন স্থাপন করে, অথবা আক্রমণকারী ক্লায়েন্ট সংযোগে ওয়েজ করতে পারে (এমআইটিএম বা ডিএনএস বা বিজিপির মাধ্যমে আক্রমণের সময় পুনঃনির্দেশ। )

সার্ভার-সাইড আক্রমণের জন্য, OpenSMTPD-কে অন্য মেল সার্ভার থেকে বাহ্যিক নেটওয়ার্ক অনুরোধ পাওয়ার জন্য কনফিগার করতে হবে বা তৃতীয় পক্ষের পরিষেবাগুলি পরিবেশন করতে হবে যা আপনাকে একটি নির্বিচারে ইমেলে একটি অনুরোধ পাঠাতে দেয় (উদাহরণস্বরূপ, ওয়েবসাইটগুলিতে ঠিকানা নিশ্চিতকরণ ফর্ম)। উদাহরণস্বরূপ, একজন আক্রমণকারী OpenSMTPD সার্ভারের সাথে সংযোগ স্থাপন করতে পারে এবং একটি ভুল চিঠি পাঠাতে পারে (একটি অস্তিত্বহীন ব্যবহারকারীকে), যা আক্রমণকারীর সার্ভারে একটি ত্রুটি কোড (বাউন্স) সহ একটি চিঠি পাঠানোর প্রতিক্রিয়ার দিকে পরিচালিত করবে। আক্রমণকারীর সার্ভারে একটি বিজ্ঞপ্তি সরবরাহ করার জন্য OpenSMTPD সংযোগ করলে একজন আক্রমণকারী দুর্বলতাকে কাজে লাগাতে পারে। আক্রমণের সময় ইনজেকশন করা শেল কমান্ডগুলিকে একটি ফাইলে স্থাপন করা হয় যা OpenSMTPD পুনরায় চালু করার সময় রুট অধিকার সহ কার্যকর করা হয়, তাই আক্রমণকারীকে অবশ্যই OpenSMTPD পুনরায় চালু করার জন্য অপেক্ষা করতে হবে বা আক্রমণটি সম্পূর্ণ করতে OpenSMTPD-এর ক্র্যাশ শুরু করতে হবে।

সমস্যাটি একটি সংযোগ স্থাপনের পরে রিমোট সার্ভার দ্বারা ফেরত দেওয়া মাল্টিলাইন প্রতিক্রিয়া পার্স করার জন্য কোডের mta_io() ফাংশনে উপস্থিত রয়েছে (উদাহরণস্বরূপ, "250-ENHANCEDSTATUSCODES" এবং "250 HELP")। OpenSMTPD গণনা করে যে প্রথম লাইনে একটি তিন-সংখ্যার সংখ্যা এবং একটি "-" অক্ষর দ্বারা পৃথক করা পাঠ্য রয়েছে এবং দ্বিতীয় লাইনে একটি স্থান দ্বারা পৃথক করা একটি তিন-সংখ্যার সংখ্যা এবং পাঠ্য রয়েছে৷ যদি একটি তিন-সংখ্যার সংখ্যা দ্বিতীয় লাইনে একটি স্পেস এবং পাঠ্য দ্বারা অনুসরণ না করা হয়, তাহলে পাঠ্যটি সংজ্ঞায়িত করার জন্য ব্যবহৃত পয়েন্টারটি '\0' অক্ষর অনুসরণ করে বাইটে সেট করা হয় এবং শেষের পরে ডেটা অনুলিপি করার চেষ্টা করা হয়। বাফার মধ্যে লাইনের.

ওপেনবিএসডি প্রকল্পের অনুরোধে, ব্যবহারকারীদের তাদের সিস্টেম আপডেট করার অনুমতি দেওয়ার জন্য দুর্বলতার শোষণ সম্পর্কে বিশদ প্রকাশকে 26 ফেব্রুয়ারি পর্যন্ত বিলম্বিত করা হয়েছে। সমস্যাটি ডিসেম্বর 2015 থেকে কোডবেসে উপস্থিত রয়েছে, তবে রুট সুবিধা সহ কোড কার্যকর করার আগে শোষণ মে 2018 থেকে সম্ভব হয়েছে। গবেষকরা শোষণের একটি কার্যকরী প্রোটোটাইপ তৈরি করেছেন, যা OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 (পরীক্ষা) এবং Fedora 31-এর জন্য OpenSMTPD বিল্ডে সফলভাবে পরীক্ষা করা হয়েছিল।

OpenSMTPD-তেও চিহ্নিত আরেকটি দুর্বলতা (CVE-2020-8793) যা স্থানীয় ব্যবহারকারীকে সিস্টেমে যেকোনো ফাইলের প্রথম লাইন পড়তে দেয়। উদাহরণস্বরূপ, আপনি /etc/master.passwd এর প্রথম লাইনটি পড়তে পারেন, যেটিতে রুট ব্যবহারকারীর পাসওয়ার্ড হ্যাশ রয়েছে। দুর্বলতা আপনাকে অন্য ব্যবহারকারীর মালিকানাধীন ফাইলের সম্পূর্ণ বিষয়বস্তু পড়ার অনুমতি দেয় যদি এই ফাইলটি /var/sool/smtpd/ ডিরেক্টরির মতো একই ফাইল সিস্টেমে থাকে। সমস্যাটি অনেক লিনাক্স ডিস্ট্রিবিউশনে শোষণযোগ্য নয় যেখানে /proc/sys/fs/protected_hardlinks এর মান 1 এ সেট করা আছে।

সমস্যাটি অসম্পূর্ণ নির্মূলের পরিণতি সমস্যা, 2015 সালে Qualys দ্বারা পরিচালিত অডিটের সময় কণ্ঠস্বর। একজন আক্রমণকারী “PATH=” ভেরিয়েবল সেট করে “_smtpq” গ্রুপের অধিকারের সাথে তার কোডটি সম্পাদন করতে পারে। এবং বর্তমান ডিরেক্টরিতে makemap নামক একটি স্ক্রিপ্ট স্থাপন করা (smtpctl ইউটিলিটি সুস্পষ্টভাবে পাথ নির্দিষ্ট না করেই মেকম্যাপ চালায়)। "_smtpq" গোষ্ঠীতে অ্যাক্সেস লাভ করে, আক্রমণকারী তখন একটি রেসের অবস্থার সৃষ্টি করতে পারে (অফলাইন ডিরেক্টরিতে একটি বড় ফাইল তৈরি করুন এবং একটি SIGSTOP সংকেত পাঠান) এবং প্রক্রিয়াকরণ সম্পূর্ণ হওয়ার আগে, একটি হার্ড দিয়ে অফলাইন ডিরেক্টরিতে ফাইলটি প্রতিস্থাপন করুন। symlink টার্গেট ফাইলের দিকে নির্দেশ করে যার বিষয়বস্তু পড়তে হবে।

এটি লক্ষণীয় যে Fedora 31-এ দুর্বলতা আপনাকে রুট গ্রুপের সুবিধাগুলি অবিলম্বে অর্জন করতে দেয়, যেহেতু smtpctl প্রক্রিয়া সেটগিড smtpq পতাকার পরিবর্তে setgid রুট পতাকা দ্বারা সজ্জিত। রুট গ্রুপে প্রবেশাধিকার লাভ করে, আপনি /var/lib/sss/mc/passwd-এর বিষয়বস্তু মুছে ফেলতে পারেন এবং সিস্টেমে সম্পূর্ণ রুট অ্যাক্সেস পেতে পারেন।

উত্স: opennet.ru

OpenSMTPD-এর দুর্বলতা যা রুট-এ দূরবর্তী এবং স্থানীয় অ্যাক্সেসের অনুমতি দেয়

একটি মন্তব্য জুড়ুন উত্তর বাতিল