დაუცველობა ქსელურ დისპეჩერში, რომელიც იძლევა root წვდომის საშუალებას

Microsoft-ის უსაფრთხოების მკვლევარებმა გამოავლინეს ორი დაუცველობა (CVE-2022-29799, CVE-2022-29800) ქსელური დისპეჩერის სერვისში, კოდური სახელწოდებით Nimbuspwn, რომლებიც არაპრივილეგირებულ მომხმარებელს საშუალებას აძლევს შეასრულოს თვითნებური ბრძანებები root პრივილეგიებით. პრობლემა მოგვარებულია ქსელური დისპეჩერის 2.2 გამოშვებაში. ჯერ არ არის ინფორმაცია დისტრიბუციების მიხედვით განახლებების გამოქვეყნების შესახებ (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux).

ქსელური დისპეჩერი გამოიყენება Linux-ის ბევრ დისტრიბუციაში, მათ შორის Ubuntu-ში, რომელიც იყენებს ფონურ პროცესს systemd-networkd ქსელის პარამეტრების კონფიგურაციისთვის და ასრულებს NetworkManager-დისპეჩერის მსგავს ფუნქციებს, ე.ი. ეწევა სკრიპტების გაშვებას, როდესაც იცვლება ქსელის კავშირის მდგომარეობა, მაგალითად, ის გამოიყენება VPN-ის გასაშვებად მთავარი ქსელის კავშირის დამყარების შემდეგ.

ფონის პროცესი, რომელიც დაკავშირებულია ქსელურ დისპეჩერთან, მუშაობს როგორც root და იღებს მოვლენის სიგნალებს D-Bus-ის მეშვეობით. ინფორმაცია ქსელური კავშირების მდგომარეობის ცვლილებასთან დაკავშირებული მოვლენების შესახებ იგზავნება systemd-networkd სერვისის მიერ. პრობლემა ის არის, რომ არაპრივილეგირებულ მომხმარებლებს შეუძლიათ შექმნან არარსებული სახელმწიფო მოვლენა და გამოიწვიონ მათი სკრიპტი, რომ შესრულდეს როგორც root.

Systemd-networkd შექმნილია მხოლოდ სისტემის დამმუშავებლის სკრიპტების გასაშვებად, რომლებიც მდებარეობს /etc/networkd-dispatcher დირექტორიაში და მიუწვდომელია მომხმარებლის ჩანაცვლებისთვის, მაგრამ დაუცველობის გამო (CVE-2022-29799) ფაილის დამუშავების გზის კოდში, იყო საზღვრებს გარეთ ბაზის დირექტორია და თვითნებური სკრიპტების გაშვების შესაძლებლობა. კერძოდ, სკრიპტის ფაილის ბილიკის ფორმირებისას გამოყენებული იქნა D-Bus-ის საშუალებით გადაცემული OperationalState და AdministrativeState მნიშვნელობები, რომლებშიც სპეციალური სიმბოლოები არ იყო გასუფთავებული. თავდამსხმელს შეეძლო საკუთარი სახელმწიფოს გენერირება, რომლის სახელი შეიცავდა სიმბოლოებს „../“ და გადამისამართებდა ქსელური დისპეტჩერის ზარს სხვა დირექტორიაში.

მეორე დაუცველობა (CVE-2022-29800) დაკავშირებულია რასის მდგომარეობასთან - სკრიპტის პარამეტრების შემოწმებას (რომელიც ეკუთვნის root-ს) და მის გაშვებას შორის, იყო მოკლე დრო, რომელიც საკმარისი იყო ფაილის ჩასანაცვლებლად და შემოწმების გვერდის ავლით. სკრიპტი ეკუთვნის root მომხმარებელს. გარდა ამისა, ქსელური დისპეჩერი არ ამოწმებდა სიმბოლურ ბმულებს, მათ შორის სკრიპტების ქვეპროცესის მეშვეობით გაშვებისას. Popen call, რამაც საგრძნობლად გაამარტივა თავდასხმის ორგანიზება.

ოპერაციული ტექნიკა:

• დირექტორია "/tmp/nimbuspwn" და სიმბოლური ბმული "/tmp/nimbuspwn/poc.d" იქმნება, რომელიც მიუთითებს დირექტორიაზე "/sbin", რომელიც გამოიყენება root-ის საკუთრებაში არსებული ფაილების შესამოწმებლად.
• „/sbin“-დან შესრულებადი ფაილებისთვის, იგივე სახელწოდების ფაილები იქმნება „/tmp/nimbuspwn“ დირექტორიაში, მაგალითად, ფაილისთვის „/sbin/vgs“ არის შესრულებადი ფაილი „/tmp/nimbuspwn/vgs“. შექმნილია არაპრივილეგირებული მომხმარებლის საკუთრებაში, რომელშიც მოთავსებულია კოდი, რომლის გაშვებაც თავდამსხმელს სურს.
• სიგნალი იგზავნება D-Bus-ის საშუალებით ქსელურ დისპეჩერის პროცესზე, რომელიც მიუთითებს მნიშვნელობას „../../../tmp/nimbuspwn/poc“ OperationalState-ში. სახელთა სივრცეში "org.freedesktop.network1" სიგნალის გასაგზავნად გამოიყენებოდა მისი დამმუშავებლების systemd-networkd-თან დაკავშირების შესაძლებლობა, მაგალითად, gpgv ან epmd მანიპულაციებით, ან შეგიძლიათ ისარგებლოთ იმით, რომ systemd-networkd ნაგულისხმევად არ მუშაობს (მაგალითად, Linux Mint-ზე).
• სიგნალის მიღების შემდეგ, Networkd-dispatcher აყალიბებს შესრულებადი ფაილების სიას, რომლებიც ეკუთვნის root მომხმარებლის და ხელმისაწვდომია დირექტორიაში "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d", რომელიც რეალურად აკავშირებს "/sbin-ს".
• იმ მომენტში, როდესაც ფაილების სია მიიღება, მაგრამ სკრიპტი ჯერ არ არის გაშვებული, სიმბოლური ბმული გადამისამართდება „/tmp/nimbuspwn/poc.d“-დან „/tmp/nimbuspwn“-ზე და ქსელური დისპეჩერი გაუშვებს სკრიპტი მასპინძლობს თავდამსხმელს root უფლებებით.

წყარო: opennet.ru