Feiligensûndersikers fan Microsoft hawwe twa kwetsberheden (CVE-2022-29799, CVE-2022-29800) identifisearre yn 'e networkd-dispatcher-tsjinst, mei de koadenamme Nimbuspwn, dy't in net-privileezjeare brûker tastean om willekeurige kommando's út te fieren mei root-privileezjes. It probleem is oplost yn networkd-dispatcher 2.2. Der is noch gjin ynformaasje oer oft distribúsjes updates publisearre hawwe.Debian, RHEL, Fedora, SUSE, Ubuntu, Bôge Linux).
Networkd-dispatcher wurdt brûkt yn in protte distribúsjes. Linuxynklusyf Ubuntu, dy't it eftergrûnproses systemd-networkd brûkt om netwurkparameters te konfigurearjen, en funksjes útfiert dy't fergelykber binne mei NetworkManager-dispatcher, d.w.s. it fiert skripts út as de steat fan 'e netwurkferbining feroaret, bygelyks, it wurdt brûkt om te starten VPN nei it opsetten fan de basisnetwurkferbining.
It eftergrûnproses ferbûn mei networkd-dispatcher rint as root en ûntfangt evenemintsignalen fia de D-Bus. Ynformaasje oer eveneminten yn ferbân mei feroaringen yn 'e steat fan netwurkferbiningen wurdt stjoerd troch de systemd-networkd-tsjinst. It probleem is dat net-befoarrjochte brûkers in net-besteand steatevenemint kinne generearje en har skript triggerje om as root út te fieren.
Systemd-networkd is ûntworpen om allinich systeembehandlerskripten út te fieren yn 'e map /etc/networkd-dispatcher en net tagonklik foar ferfanging fan brûkers, mar troch in kwetsberens (CVE-2022-29799) yn 'e ferwurkingskoade foar bestânpaad wie d'r in mooglikheid fan in out-of-bounds basis triemtafel en launching willekeurige skripts. Benammen by it foarmjen fan it bestânpaad nei it skript waarden de wearden OperationalState en AdministrativeState oerdroegen fia D-Bus brûkt, wêryn spesjale tekens net wiske waarden. In oanfaller koe syn eigen steat generearje mei de karakters "../" yn syn namme en omliede de netwurkd-dispatcher-oprop nei in oare map.
De twadde kwetsberens (CVE-2022-29800) is relatearre oan in race-betingsten - tusken it kontrolearjen fan de skriptparameters (heart ta root) en it útfieren, wie d'r in koarte tiid, genôch om it bestân te ferfangen en de kontrôle om te gean oft de skript heart by de root-brûker. Dêrnjonken kontrolearre networkd-dispatcher net foar symboalyske keppelings, ynklusyf by it útfieren fan skripts troch it subproces.Popen-oprop, dy't de organisaasje fan 'e oanfal signifikant ferienfâldige.
Operating technyk:
- In map "/tmp/nimbuspwn" en in symboalyske keppeling "/tmp/nimbuspwn/poc.d" wurde makke dy't wiist nei de map "/sbin", dy't brûkt wurdt om te kontrolearjen op útfierbere triemmen dy't eigendom binne fan root.
- Foar útfierbere triemmen fan "/sbin" wurde triemmen mei deselde namme oanmakke yn de map "/tmp/nimbuspwn", bygelyks foar it bestân "/sbin/vgs" is in útfierber bestân "/tmp/nimbuspwn/vgs" makke, eigendom fan in net-befoarrjochte brûker, wêryn de koade pleatst wurdt dy't de oanfaller útfiere wol.
- In sinjaal wurdt fia D-Bus nei it networkd-dispatcher-proses stjoerd mei de OperationalState-wearde ynsteld op "../../../tmp/nimbuspwn/poc". Om in sinjaal te ferstjoeren yn 'e nammeromte "org.freedesktop.network1", waard de mooglikheid brûkt om oanpaste handlers oan systemd-networkd te keppeljen, bygelyks troch manipulaasjes mei gpgv of epmd, of men kin profitearje fan it feit dat systemd-networkd net standert rint (bygelyks yn Linux Munt).
- Nei ûntfangst fan it sinjaal bout Networkd-dispatcher in list mei útfierbere bestannen yn eigendom fan de root-brûker en beskikber yn 'e map "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d", dy't eins ferwiist nei "/sbin".
- Op it momint dat de list mei bestannen wurdt ûntfongen, mar it skript is noch net lansearre, wurdt de symboalyske keppeling omlaat fan "/tmp/nimbuspwn/poc.d" nei "/tmp/nimbuspwn" en networkd-dispatcher sil de skript hosted troch de oanfaller mei rootrjochten.
Boarne: opennet.ru
