🥇 კრიტიკული დაუცველობა PolKit-ში, რომელიც საშუალებას აძლევს root წვდომას Linux-ის უმეტეს დისტრიბუციაზე

Qualys-მა გამოავლინა დაუცველობა (CVE-2021-4034) Polkit (ყოფილი PolicyKit) სისტემის კომპონენტში, რომელიც გამოიყენება დისტრიბუციებში, რათა არაპრივილეგირებულ მომხმარებლებს შეეძლოთ განახორციელონ ქმედებები, რომლებიც საჭიროებენ წვდომის ამაღლებულ უფლებებს. დაუცველობა არაპრივილეგირებულ ადგილობრივ მომხმარებელს საშუალებას აძლევს გააფართოვოს თავისი პრივილეგიები root და მოიპოვოს სრული კონტროლი სისტემაზე. პრობლემას ეწოდა კოდის სახელი PwnKit და შესამჩნევია სამუშაო ექსპლოიტის წარმოებისთვის, რომელიც მუშაობს ნაგულისხმევი კონფიგურაციით უმეტეს Linux დისტრიბუციებზე.

პრობლემა არის PolKit-ის pkexec პროგრამაში, რომელსაც გააჩნია SUID root დროშა და შექმნილია სხვა მომხმარებლის პრივილეგიებით ბრძანებების გასაშვებად, მითითებული PolKit წესების შესაბამისად. pkexec-ზე გადაცემული ბრძანების ხაზის არგუმენტების არასწორი დამუშავების გამო, არაპრივილეგირებულ მომხმარებელს შეეძლო აუთენტიფიკაციის გვერდის ავლით და თავისი კოდის გაშვება root-ის სახით, დაშვების წესების მიუხედავად. თავდასხმისთვის არ აქვს მნიშვნელობა რა პარამეტრები და შეზღუდვებია მითითებული PolKit-ში, საკმარისია SUID root ატრიბუტი დაყენდეს შესრულებად ფაილზე pkexec უტილიტაში.

Pkexec არ ამოწმებს ბრძანების ხაზის არგუმენტების დათვლის (argc) ვალიდობას, რომელიც გადავიდა პროცესის დაწყებისას. pkexec-ის შემქმნელებმა ჩათვალეს, რომ argv მასივში პირველი ჩანაწერი ყოველთვის შეიცავს პროცესის სახელს (pkexec), ხოლო მეორე ან NULL მნიშვნელობას ან pkexec-ის მეშვეობით გაშვებული ბრძანების სახელს. იმის გამო, რომ არგუმენტების რაოდენობა არ იყო შემოწმებული მასივის რეალურ შინაარსთან მიმართებაში და ყოველთვის ითვლებოდა 1-ზე მეტი, თუ პროცესს გადასცემდნენ ცარიელ argv მასივს, როგორც Linux execve ფუნქცია იძლევა, pkexec განიხილავდა NULL-ს, როგორც პირველ არგუმენტს ( პროცესის სახელი) და შემდეგი, როგორც შემდეგი არგუმენტი, ბუფერული მეხსიერების გარეთ, როგორც მასივის შემდგომი შინაარსი. |———+———+——+————|———+———+——+————| | argv[0] | არგვ[1] | ... | argv[argc] | envp[0] | envp[1] | ... | envp[envc] | |—-|—-+—-|—-+——+——|——|—-|—-+—-|—-+——+——|——| VVVVVV "პროგრამა" "-option" NULL "მნიშვნელობა" "PATH=სახელი" NULL

პრობლემა ის არის, რომ argv მასივის შემდეგ მეხსიერებაში არის envp მასივი, რომელიც შეიცავს გარემოს ცვლადებს. ამრიგად, თუ argv მასივი ცარიელია, pkexec ამოიღებს მონაცემებს გაშვებული ბრძანების შესახებ ამაღლებული პრივილეგიებით მასივის პირველი ელემენტიდან გარემოს ცვლადებით (argv[1] გახდა envp[0]-ის იდენტური), რომლის შიგთავსის კონტროლი შესაძლებელია. თავდამსხმელის მიერ.

argv[1] მნიშვნელობის მიღების შემდეგ, pkexec ცდილობს, PATH-ში ფაილის ბილიკების გათვალისწინებით, განსაზღვროს შესრულებადი ფაილის სრული გზა და წერს მაჩვენებელს სტრიქონზე სრული ბილიკით უკან argv[1]-მდე, რომელიც იწვევს პირველი გარემოს ცვლადის მნიშვნელობის გადაწერას, ვინაიდან argv[1] იდენტურია envp[0]-ისა. პირველი გარემოს ცვლადის სახელის მანიპულირებით, თავდამსხმელს შეუძლია შეცვალოს სხვა გარემოს ცვლადი pkexec-ში, მაგალითად, ჩაანაცვლოს გარემოს ცვლადი „LD_PRELOAD“, რომელიც დაუშვებელია suid პროგრამებში და მოაწყოს მათი საერთო ბიბლიოთეკის ჩატვირთვა პროცესი.

სამუშაო ექსპლოიტი გულისხმობს GCONV_PATH ცვლადის ჩანაცვლებას, რომელიც გამოიყენება სიმბოლოების ტრანსკოდირების ბიბლიოთეკისკენ მიმავალი ბილიკის დასადგენად, დინამიურად დატვირთული g_printerr() ფუნქციის გამოძახებისას, რომლის კოდი იყენებს iconv_open(). GCONV_PATH-ში გზის ხელახალი განსაზღვრით, თავდამსხმელს შეუძლია უზრუნველყოს, რომ ჩატვირთულია არა სტანდარტული iconv ბიბლიოთეკა, არამედ მისი საკუთარი ბიბლიოთეკა, რომლის დამმუშავებლები შესრულდება, როდესაც შეცდომის შეტყობინება გამოჩნდება იმ ეტაპზე, როდესაც pkexec ჯერ კიდევ მუშაობს. root უფლებები და გაშვებამდე ნებართვები შემოწმებულია.

აღნიშნულია, რომ მიუხედავად იმისა, რომ პრობლემა გამოწვეულია მეხსიერების დაზიანებით, მისი საიმედოდ და განმეორებით გამოყენება შესაძლებელია გამოყენებული ტექნიკის არქიტექტურის მიუხედავად. მომზადებული ექსპლოიტი წარმატებით იქნა გამოცდილი Ubuntu-ზე, Debian-ზე, Fedora-სა და CentOS-ზე, მაგრამ შეიძლება გამოყენებულ იქნას სხვა დისტრიბუციებზეც. თავდაპირველი ექსპლოიტი ჯერ არ არის საჯაროდ ხელმისაწვდომი, რაც მიუთითებს იმაზე, რომ ის ტრივიალურია და შეიძლება ადვილად ხელახლა შექმნას სხვა მკვლევარების მიერ, ამიტომ მნიშვნელოვანია პაჩის განახლება რაც შეიძლება მალე დააინსტალიროთ მრავალ მომხმარებლის სისტემებზე. Polkit ასევე ხელმისაწვდომია BSD სისტემებისთვის და Solaris-ისთვის, მაგრამ არ არის შესწავლილი მათზე გამოსაყენებლად. ცნობილია, რომ შეტევა არ შეიძლება განხორციელდეს OpenBSD-ზე, ვინაიდან OpenBSD ბირთვი არ იძლევა null argc მნიშვნელობის გადაცემას execve()-ის გამოძახებისას.

პრობლემა არსებობს 2009 წლის მაისიდან, pkexec ბრძანების დამატების შემდეგ. PolKit დაუცველობის გამოსწორება ამჟამად ხელმისაწვდომია პაჩის სახით (არ გამოქვეყნებულა პაჩი), მაგრამ მას შემდეგ, რაც დისტრიბუციის დეველოპერებს წინასწარ ეცნობათ პრობლემის შესახებ, დისტრიბუციების უმეტესობამ გამოაქვეყნა განახლება დაუცველობის შესახებ ინფორმაციის გამჟღავნებასთან ერთად. პრობლემა მოგვარებულია RHEL 6/7/8, Debian, Ubuntu, openSUSE, SUSE, Fedora, ALT Linux, ROSA, Gentoo, Void Linux, Arch Linux და Manjaro-ში. როგორც დაუცველობის დაბლოკვის დროებითი ღონისძიება, შეგიძლიათ წაშალოთ SUID root დროშა /usr/bin/pkeexec პროგრამიდან (“chmod 0755 /usr/bin/pkexec”).

წყარო: opennet.ru

კრიტიკული დაუცველობა PolKit-ში, რომელიც საშუალებას აძლევს root წვდომას Linux-ის უმეტეს დისტრიბუციაზე

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება