Microsoft-eko segurtasun-ikertzaileek bi ahultasun identifikatu dituzte (CVE-2022-29799, CVE-2022-29800) sareko bidaltzaile-zerbitzuan, Nimbuspwn izena duen kodean, pribilegiorik gabeko erabiltzaile bati komando arbitrarioak exekutatzeko aukera ematen dioten root pribilegioekin. Arazoa networkd-dispatcher 2.2 bertsioan konpondu da. Oraindik ez dago banaketaren arabera (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux) eguneratzeak argitaratzeari buruzko informaziorik.
Networkd-dispatcher Linux banaketa askotan erabiltzen da, Ubuntu barne, atzeko planoko systemd-networkd prozesua erabiltzen baitute sare-parametroak konfiguratzeko, eta NetworkManager-dispatcher-en antzeko funtzioak egiten ditu, hau da. script-ak abiarazten dihardu sare-konexio baten egoera aldatzen denean, adibidez, VPN bat abiarazteko erabiltzen da sare-konexio nagusia ezarri ondoren.
Networkd-dispatcher-ekin lotutako atzeko planoa root gisa exekutatzen da eta gertaeren seinaleak jasotzen ditu D-Bus bidez. Sare-konexioen egoera aldaketekin erlazionatutako gertaerei buruzko informazioa systemd-networkd zerbitzuak bidaltzen du. Arazoa da pribilegiorik gabeko erabiltzaileek existitzen ez den egoera-gertaera bat sor dezaketela eta beren script-a root gisa exekuta dadin abiarazi dezakete.
Systemd-networkd /etc/networkd-dispatcher direktorioan dauden sistema-kudeatzailearen script-ak soilik exekutatzeko diseinatuta dago eta erabiltzaileak ordezkatzeko erabilgarri ez direnak, baina fitxategi-bidearen prozesatzeko kodean ahultasun bat (CVE-2022-29799) dela eta, bat zegoen. mugaz kanpoko oinarrizko direktorioa eta script arbitrarioak abiarazteko aukera. Bereziki, scripterako fitxategiaren bidea osatzerakoan, D-Bus bidez transmititutako OperationalState eta AdministrativeState balioak erabili ziren, eta horietan ez ziren karaktere bereziak garbitu. Erasotzaileak bere egoera sor zezakeen, zeinaren izenak β../β karaktereak zituen eta sareko bidaltzailearen deia beste direktorio batera birbideratu zezakeen.
Bigarren ahultasuna (CVE-2022-29800) lasterketa-baldintza batekin lotuta dago: script-en parametroak egiaztatu (rootarenak) eta exekutatu bitartean, denbora-tarte labur bat egon zen, nahikoa fitxategia ordezkatzeko eta egiaztapena saihesteko. script root erabiltzaileari dagokio. Horrez gain, networkd-dispatcher-ek ez zuen lotura sinbolikorik egiaztatu, azpiprozesuaren bidez scriptak exekutatzen zirenean barne.Popen deia, erasoaren antolaketa nabarmen erraztu zuena.
Eragiketa teknika:
- "/tmp/nimbuspwn" direktorio bat eta "/tmp/nimbuspwn/poc.d" esteka sinboliko bat sortzen dira "/sbin" direktoriora seinalatzen dutenak, root-en jabetzako fitxategi exekutagarriak egiaztatzeko erabiltzen dena.
- β/sbinβ fitxategi exekutagarrietarako, izen bereko fitxategiak β/tmp/nimbuspwnβ direktorioan sortzen dira, adibidez, β/sbin/vgsβ fitxategirako β/tmp/nimbuspwn/vgsβ fitxategi exekutagarria da. sortua, pribilegiorik gabeko erabiltzaile batena, zeinean erasotzaileak exekutatu nahi duen kodea jartzen duen.
- Seinale bat bidaltzen da D-Bus bidez sareko dispatcher prozesura "../../../tmp/nimbuspwn/poc" balioa adieraziz OperationalState-n. "org.freedesktop.network1" izen-espazioan seinale bat bidaltzeko, bere kudeatzaileak systemd-networkd-ra konektatzeko gaitasuna erabili zen, adibidez, gpgv edo epmd-ekin manipulazioen bidez, edo systemd-networkd dela aprobetxatu dezakezu. ez da lehenespenez exekutatzen (adibidez, Linux Mint-en).
- Seinalea jaso ondoren, Networkd-dispatcher-ek root erabiltzailearen jabetzako fitxategi exekutagarrien zerrenda eraikitzen du eta "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d" direktorioan eskuragarri. benetan "/sbin"-rekin lotzen duena.
- Fitxategien zerrenda jasotzen den unean, baina scripta oraindik abiarazi ez den unean, esteka sinbolikoa "/tmp/nimbuspwn/poc.d"-tik "/tmp/nimbuspwn"-ra birbideratzen da eta networkd-dispatcher-ek abiaraziko du. Erro-eskubideak dituen erasotzaileak ostatatutako scripta.
Iturria: opennet.ru