🥇פגיעות שורש בערכת הכלים של חבילות Snap

Qualys זיהתה פגיעות שלישית חמורה השנה (CVE-2022-3328) בכלי העזר snap-confine, שמגיע עם דגל השורש של SUID ונקרא על ידי תהליך snapd כדי ליצור סביבת הפעלה עבור יישומים המופצים בחבילות עצמאיות. בפורמט snap. הפגיעות מאפשרת למשתמש מקומי ללא הרשאות להשיג ביצוע קוד כשורש בתצורת ברירת המחדל של אובונטו. הבעיה תוקנה במהדורת snapd 2.57.6. עדכוני חבילות שוחררו עבור כל הענפים הנתמכים של אובונטו.

מעניין לציין שהחולשה המדוברת הוצגה בתהליך של תיקון פגיעות דומה של פברואר ב-snap-confine. החוקרים הצליחו להכין ניצול עובד המספק גישת שורש ב-Ubuntu Server 22.04, אשר, בנוסף לפגיעות ה-snap-confine, כרוכה גם בשתי נקודות תורפה בתהליך ה-multipathd (CVE-2022-41974, CVE-2022-41973) קשור לעקיפת הרשאות בעת העברת פקודות מורשות וטיפול לא בטוח בקישורים סמליים.

הפגיעות ב-snap-confine נגרמת על ידי מצב גזע בפונקציה must_mkdir_and_open_with_perms(), שנוספה כדי להגן מפני החלפה של הספרייה /tmp/snap.$SNAP_NAME בקישור סמלי לאחר בדיקת הבעלים, אך לפני קריאת מערכת ה-mount נקרא ל-bind-mount לתוכו עבור חבילה בפורמט snap. האבטחה שנוספה הייתה לשנות את שם הספרייה /tmp/snap.$SNAP_NAME לספרייה אחרת ב-/tmp עם שם אקראי אם היא קיימת ואינה בבעלות משתמש השורש.

בעת ניצול פעולת שינוי שם הספרייה /tmp/snap.$SNAP_NAME, החוקרים ניצלו את העובדה ש-snap-confine יוצר גם ספריית /tmp/snap.rootfs_XXXXXX עבור שורש התוכן של חבילת ה-Snap. החלק "XXXXXX" של השם נבחר באקראי על ידי mkdtemp(), אך חבילה בשם "rootfs_XXXXXX" יכולה להעביר את sc_instance_name_validate (כלומר, הרעיון הוא ש-$SNAP_NAME מוגדר ל-"rootfs_XXXXXX" ואז פעולת שינוי השם תגרום להחלפה ספריית /tmp/snap.rootfs_XXXXXX עם שורש הצמד).

על מנת להשיג שימוש בו-זמני ב-/tmp/snap.rootfs_XXXXXX ושינוי שם /tmp/snap.$SNAP_NAME, הוחלו שני מופעים של snap-confine. ברגע שהמופע הראשון יצר את /tmp/snap.rootfs_XXXXXX, התהליך יחסום ומופע שני עם שם החבילה rootfs_XXXXXX יתחיל, מה שיגרום לספרייה הזמנית של המופע השני /tmp/snap.$SNAP_NAME להפוך ל- /tmp/snap ‎.rootfs_XXXXXX ספריית השורש של המופע הראשון. מיד לאחר ביצוע שינוי השם, המופע השני קרס, ו-/tmp/snap.rootfs_XXXXXX הוחלף במניפולציה של תנאי הגזע, כמו בניצול הפגיעות של פברואר. לאחר השינוי, נעילת הביצוע הוסרה מהמופע הראשון והתוקפים השיגו שליטה מלאה על ספריית שורש ה-Snap.

השלב האחרון היה יצירת קישור סימלי /tmp/snap.rootfs_XXXXXX/tmp אשר שימש את הפונקציה sc_bootstrap_mount_namespace() ל-bind-mount את הספרייה האמיתית הניתנת לכתיבה /tmp לכל ספרייה במערכת הקבצים, שכן הקריאה mount() באה אחריה סימלינקים לפני ההרכבה. הרכבה כזו נחסמת על ידי הגבלות AppArmor, אך כדי לעקוף חסימה זו, שני פגיעויות עזר המנוצלות ב-multipathd.

מקור: OpenNet.ru

פגיעות שורש בערכת הכלים לניהול חבילות Snap

הוספת תגובה ביטול תגובה