Ang mga tigdukiduki sa seguridad gikan sa Microsoft nakaila sa duha ka mga kahuyangan (CVE-2022-29799, CVE-2022-29800) sa serbisyo sa networkd-dispatcher, nga gi-codenamed Nimbuspwn, nga nagtugot sa usa ka walay pribilehiyo nga tiggamit sa pagpatuman sa arbitraryong mga sugo nga adunay mga pribilehiyo sa gamut. Ang isyu naayo sa pagpagawas sa networkd-dispatcher 2.2. Wala paβy kasayuran bahin sa pagmantala sa mga update pinaagi sa mga pag-apod-apod (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux).
Ang Networkd-dispatcher gigamit sa daghang mga distribusyon sa Linux, lakip ang Ubuntu, nga naggamit sa background nga proseso systemd-networkd aron ma-configure ang mga parameter sa network, ug nagpahigayon mga gimbuhaton nga parehas sa NetworkManager-dispatcher, i.e. nakigbahin sa paglansad sa mga script kung ang kahimtang sa usa ka koneksyon sa network mausab, pananglitan, gigamit kini aron maglansad usa ka VPN pagkahuman natukod ang panguna nga koneksyon sa network.
Ang proseso sa background nga may kalabotan sa networkd-dispatcher midagan ingon nga gamut ug makadawat mga signal sa panghitabo pinaagi sa D-Bus. Ang impormasyon bahin sa mga panghitabo nga may kalabotan sa mga pagbag-o sa kahimtang sa mga koneksyon sa network gipadala sa serbisyo sa systemd-networkd. Ang problema mao nga ang mga dili pribilihiyo nga mga tiggamit makahimo og usa ka wala'y naglungtad nga panghitabo sa estado ug mag-trigger sa ilang script nga ipatuman ingon nga gamut.
Ang Systemd-networkd gidesinyo sa pagpadagan lamang sa mga script sa tigdumala sa sistema nga nahimutang sa /etc/networkd-dispatcher nga direktoryo ug dili ma-access alang sa pagpuli sa user, apan tungod sa pagkahuyang (CVE-2022-29799) sa file path processing code, adunay posibilidad sa usa ka out-of-bounds base nga direktoryo ug paglansad sa arbitraryong mga script. Sa partikular, sa pagporma sa file path sa script, ang OperationalState ug AdministrativeState nga mga kantidad nga gipadala pinaagi sa D-Bus gigamit, diin ang mga espesyal nga karakter wala ma-clear. Ang tig-atake mahimong makamugna sa iyang kaugalingon nga estado, ang ngalan niini adunay mga karakter nga "../" ug i-redirect ang tawag sa networkd-dispatcher sa lain nga direktoryo.
Ang ikaduha nga pagkahuyang (CVE-2022-29800) may kalabutan sa usa ka kahimtang sa lumba - tali sa pagsusi sa mga parameter sa script (naa sa gamut) ug pagpadagan niini, adunay usa ka mubo nga panahon, igo aron mapulihan ang file ug laktawan ang pagsusi kung ang Ang script iya sa root user. Dugang pa, ang networkd-dispatcher wala magsusi sa simbolikong mga sumpay, lakip na ang pagpadagan sa mga script pinaagi sa subprocess.Popen nga tawag, nga nagpayano pag-ayo sa organisasyon sa pag-atake.
Operating nga teknik:
- Usa ka direktoryo nga "/tmp/nimbuspwn" ug usa ka simbolikong link nga "/tmp/nimbuspwn/poc.d" gihimo nga nagpunting sa direktoryo nga "/sbin", nga gigamit aron susihon ang mga executable file nga gipanag-iya sa gamut.
- Para sa mga executable nga mga file gikan sa "/ sbin", ang mga file nga adunay parehas nga ngalan gihimo sa direktoryo nga "/tmp/nimbuspwn", pananglitan, alang sa file nga "/sbin/vgs" usa ka executable file nga "/tmp/nimbuspwn/vgs" gibuhat, nga gipanag-iya sa usa ka dili pribilihiyo nga tiggamit, diin ang code nga gusto sa tig-atake gibutang.
- Usa ka signal ang gipadala pinaagi sa D-Bus sa networkd-dispatcher nga proseso nga nagpaila sa kantidad nga "../../../tmp/nimbuspwn/poc" sa OperationalState. Aron magpadala usa ka signal sa namespace nga "org.freedesktop.network1", gigamit ang abilidad sa pagkonektar sa mga tigdumala niini sa systemd-networkd, pananglitan, pinaagi sa mga manipulasyon sa gpgv o epmd, o mahimo nimong pahimuslan ang kamatuoran nga ang systemd-networkd wala nagdagan pinaagi sa default (pananglitan, sa Linux Mint).
- Human madawat ang signal, ang Networkd-dispatcher nagtukod og usa ka lista sa mga executable files nga gipanag-iya sa root user ug anaa sa direktoryo nga "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d", nga aktuwal nga nagsumpay sa "/sbin".
- Sa higayon nga ang lista sa mga file nadawat, apan ang script wala pa gilansad, ang simbolo nga link gi-redirect gikan sa "/tmp/nimbuspwn/poc.d" ngadto sa "/tmp/nimbuspwn" ug ang networkd-dispatcher maglunsad sa script nga gi-host sa tig-atake nga adunay mga katungod sa gamut.
Source: opennet.ru