פגיעויות ב-OpenSMTPD המאפשרות גישה לשורש מרחוק ומקומי

חברת Qualys גילה פגיעות קריטית נוספת מרחוק (CVE-2020-8794) בשרת הדואר OpenSMTPD, שפותח על ידי פרויקט OpenBSD. כמו זה שזוהה בסוף ינואר פגיעות, בעיה חדשה מאפשרת לבצע מרחוק פקודות מעטפת שרירותיות בשרת עם זכויות משתמש שורש. פגיעות חוסלו בסוגיה OpenSMTPD 6.6.4p1.

הבעיה נגרמת על ידי באג בקוד שמעביר דואר לשרת הדואר המרוחק (לא בקוד שמטפל בחיבורים נכנסים). ההתקפה אפשרית הן בצד הלקוח והן בצד השרת. בצד הלקוח, המתקפה אפשרית בתצורת ברירת המחדל של OpenSMTPD, שבה OpenSMTPD מקבל בקשות רק בממשק הרשת הפנימי (localhost) ושולח הודעות דואר לשרתים חיצוניים. כדי לנצל את הפגיעות, מספיק שבמהלך מסירת המכתב, OpenSMTPD ייצור הפעלה עם שרת דואר שנשלט על ידי התוקף, או שהתוקף יוכל להתקע בחיבור הלקוח (MITM או ניתוב מחדש במהלך התקפות באמצעות DNS או BGP ).

עבור התקפה בצד השרת, יש להגדיר את OpenSMTPD לקבל בקשות רשת חיצוניות משרתי דואר אחרים או לשרת שירותי צד שלישי המאפשרים לשלוח בקשה למייל שרירותי (לדוגמה, טפסי אישור כתובת באתרי אינטרנט). לדוגמה, תוקף יכול להתחבר לשרת OpenSMTPD ולשלוח מכתב שגוי (למשתמש לא קיים), מה שיוביל לתגובה שליחת מכתב עם קוד שגיאה (קפיצה) לשרת של התוקף. תוקף יכול לנצל את הפגיעות כאשר OpenSMTPD מתחבר כדי להעביר הודעה לשרת של התוקף. פקודות המעטפת שהוזרקו במהלך המתקפה ממוקמות בקובץ שמתבצע עם זכויות שורש כאשר OpenSMTPD מופעל מחדש, כך שהתוקף חייב לחכות ל-OpenSMTPD כדי להפעיל מחדש או ליזום קריסה של OpenSMTPD כדי להשלים את המתקפה.

הבעיה קיימת בפונקציה mta_io() בקוד לניתוח התגובה הרב-שורית המוחזרת על ידי השרת המרוחק לאחר יצירת חיבור (לדוגמה, "250-ENHANCEDSTATUSCODES" ו-"250 HELP"). OpenSMTPD מחשבת שהשורה הראשונה כוללת מספר תלת ספרתי וטקסט מופרדים באמצעות תו "-", והשורה השנייה מכילה מספר תלת ספרתי וטקסט מופרדים ברווח. אם מספר תלת ספרתי אינו מלווה ברווח וטקסט בשורה השנייה, המצביע המשמש להגדרת הטקסט מוגדר לבייט שלאחר התו '\0' ונעשה ניסיון להעתיק את הנתונים לאחר הסוף של הקו לתוך המאגר.

לבקשת פרויקט OpenBSD, פרסום הפרטים על ניצול הפגיעות נדחה עד ה-26 בפברואר כדי לאפשר למשתמשים לעדכן את המערכות שלהם. הבעיה קיימת בבסיס הקוד מאז דצמבר 2015, אך ניצול לפני ביצוע קוד עם הרשאות בסיס אפשרי מאז מאי 2018. החוקרים הכינו אב טיפוס עובד של הניצול, שנבדק בהצלחה ב-OpenSMTPD build עבור OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 (בדיקה) ו-Fedora 31.

גם ב-OpenSMPD מזוהה פגיעות נוספת (CVE-2020-8793) המאפשרת למשתמש מקומי לקרוא את השורה הראשונה של כל קובץ במערכת. לדוגמה, אתה יכול לקרוא את השורה הראשונה של /etc/master.passwd, המכילה את ה-hash של הסיסמה של משתמש השורש. הפגיעות גם מאפשרת לך לקרוא את כל התוכן של קובץ בבעלות משתמש אחר אם קובץ זה ממוקם באותה מערכת קבצים כמו ספריית /var/spool/smtpd/. הבעיה אינה ניתנת לניצול בהפצות לינוקס רבות שבהן הערך של /proc/sys/fs/protected_hardlinks מוגדר ל-1.

הבעיה היא תוצאה של חיסול לא שלם проблем, שהושמע במהלך הביקורת שערכה Qualys ב-2015. תוקף יכול להשיג ביצוע של הקוד שלו עם הזכויות של קבוצת "_smtpq" על ידי הגדרת המשתנה "PATH=.". והצבת סקריפט בשם makemap בספרייה הנוכחית (הכלי smtpctl מריץ makemap מבלי לציין במפורש את הנתיב). על ידי השגת גישה לקבוצת "_smtpq", התוקף יכול לגרום למצב מרוץ (ליצור קובץ גדול בספרייה הלא מקוונת ולשלוח אות SIGSTOP), ולפני השלמת העיבוד, להחליף את הקובץ בספרייה הלא מקוונת בקובץ קשיח. קישור סימלי המצביע על קובץ היעד שיש לקרוא את תוכנו.

ראוי לציין שב-Fedora 31 הפגיעות מאפשרת לך לקבל מיד את ההרשאות של קבוצת השורש, מכיוון שתהליך smtpctl מצויד בדגל setgid root, במקום בדגל setgid smtpq. על ידי קבלת גישה לקבוצת השורש, אתה יכול להחליף את התוכן של /var/lib/sss/mc/passwd ולקבל גישת שורש מלאה למערכת.

מקור: OpenNet.ru