פגיעות ב-firejail המאפשרת גישה לשורש למערכת

זוהתה פגיעות (CVE-2022-31214) בכלי השירות לבידוד יישומי Firejail המאפשר למשתמש מקומי להשיג הרשאות שורש במערכת המארחת. יש ניצול עבודה זמין ברשות הציבור, שנבדק במהדורות נוכחיות של openSUSE, Debian, Arch, Gentoo ו-Fedora עם כלי השירות Firejail מותקן. הבעיה תוקנה במהדורת Firejail 0.9.70. כפתרון עוקף להגנה, אתה יכול להגדיר את הפרמטרים "join no" ו-"force-nonewprivs yes" בהגדרות (/etc/firejail/firejail.config).

Firejail משתמשת במרחבי שמות, AppArmor וסינון קריאות מערכת (seccomp-bpf) בלינוקס לצורך בידוד, אך דורשת הרשאות מוגברות כדי להגדיר ביצוע מבודד, שאותו היא משיגה באמצעות קשירה לדגל השירות suid root או ריצה עם sudo. הפגיעות נגרמת על ידי שגיאה בלוגיקה של אפשרות "--join=", המיועדת לחיבור לסביבה מבודדת שכבר פועלת (אנלוגי לפקודת ההתחברות לסביבת ארגז חול) כשהסביבה נקבעת על ידי מזהה תהליך הפועל בו. במהלך שלב איפוס ההרשאות מראש, Firejail קובע את ההרשאות של התהליך שצוין ומחיל אותן על התהליך החדש שמחובר לסביבה באמצעות אפשרות "-join".

לפני החיבור, הוא בודק אם התהליך שצוין פועל בסביבת Firejail. בדיקה זו מעריכה את נוכחות הקובץ /run/firejail/mnt/join. כדי לנצל את הפגיעות, תוקף יכול לדמות סביבת firejail פיקטיבית, לא מבודדת באמצעות מרחב השמות של mount, ולאחר מכן להתחבר אליו באמצעות אפשרות "--join". אם ההגדרות אינן מאפשרות את המצב של איסור רכישת הרשאות נוספות בתהליכים חדשים (prctl NO_NEW_PRIVS), firejail יחבר את המשתמש לסביבת דמה ותנסה להחיל את הגדרות מרחב שמות המשתמש של תהליך ה-init (PID 1).

כתוצאה מכך, התהליך המקושר באמצעות "firejail -join" יסתיים במרחב השמות המקורי של מזהה המשתמש של המשתמש עם הרשאות ללא שינוי, אך במרחב נקודת הרכבה שונה, הנשלט לחלוטין על ידי התוקף. תוקף יכול גם להפעיל תוכניות setuid-root במרחב נקודת ה-mount שיצר, מה שמאפשר, למשל, לשנות את הגדרות /etc/sudoers או פרמטרי PAM בהיררכיית הקבצים שלו ויכולת לבצע פקודות עם זכויות שורש באמצעות sudo או סו כלי עזר.

מקור: OpenNet.ru