დაუცველობა OpenSMTPD-ში, რომელიც იძლევა დისტანციური და ლოკალური root წვდომის საშუალებას

Qualys Company გამოავლინა კიდევ ერთი დისტანციური კრიტიკული დაუცველობა (CVE-2020-8794) ფოსტის სერვერზე OpenSMTPD, შემუშავებული OpenBSD პროექტის მიერ. ისევე როგორც იანვრის ბოლოს გამოვლენილი დაუცველობა, ახალი საკითხი შესაძლებელს ხდის დისტანციურად შესრულდეს თვითნებური გარსის ბრძანებები სერვერზე root მომხმარებლის უფლებებით. დაუცველობა აღმოფხვრილი საკითხში OpenSMTPD 6.6.4p1.

პრობლემა გამოწვეულია კოდში შეცდომით, რომელიც აწვდის ფოსტს დისტანციურ ფოსტის სერვერზე (და არა იმ კოდში, რომელიც ამუშავებს შემომავალ კავშირებს). შეტევა შესაძლებელია როგორც კლიენტის, ასევე სერვერის მხრიდან. კლიენტის მხრიდან, შეტევა შესაძლებელია OpenSMTPD-ის ნაგულისხმევ კონფიგურაციაში, რომელშიც OpenSMTPD იღებს მოთხოვნებს მხოლოდ შიდა ქსელის ინტერფეისზე (localhost) და აგზავნის ფოსტის შეტყობინებებს გარე სერვერებზე. დაუცველობის გამოსაყენებლად, საკმარისია, რომ წერილის მიწოდების დროს OpenSMTPD დაამყაროს სესია ფოსტის სერვერთან, რომელსაც აკონტროლებს თავდამსხმელი, ან რომ თავდამსხმელმა შეძლოს კლიენტის კავშირში ჩასმა (MITM ან გადამისამართება შეტევების დროს DNS ან BGP-ის საშუალებით. ).

სერვერის მხრიდან შეტევისთვის, OpenSMTPD უნდა იყოს კონფიგურირებული ისე, რომ მიიღოს გარე ქსელის მოთხოვნები სხვა ფოსტის სერვერებიდან ან მოემსახუროს მესამე მხარის სერვისებს, რომლებიც საშუალებას მოგცემთ გაგზავნოთ მოთხოვნა თვითნებურ ელფოსტაზე (მაგალითად, მისამართის დადასტურების ფორმები ვებსაიტებზე). მაგალითად, თავდამსხმელს შეუძლია დაუკავშირდეს OpenSMTPD სერვერს და გაუგზავნოს არასწორი წერილი (არარსებულ მომხმარებელს), რაც გამოიწვევს პასუხს, რომელიც გაგზავნის წერილს შეცდომის კოდით (bounce) თავდამსხმელის სერვერზე. თავდამსხმელს შეუძლია გამოიყენოს დაუცველობა, როდესაც OpenSMTPD უკავშირდება, რათა შეტყობინებები მიაწოდოს თავდამსხმელის სერვერს. შეტევის დროს შეყვანილი გარსის ბრძანებები მოთავსებულია ფაილში, რომელიც შესრულებულია root უფლებებით, როდესაც OpenSMTPD გადაიტვირთება, ამიტომ თავდამსხმელმა უნდა დაელოდოს OpenSMTPD გადატვირთვას ან დაიწყოს OpenSMTPD-ის ავარია შეტევის დასასრულებლად.

პრობლემა გვხვდება mta_io() ფუნქციაში, კოდში, დისტანციური სერვერის მიერ დაბრუნებული მრავალხაზოვანი პასუხის ანალიზისთვის, კავშირის დამყარების შემდეგ (მაგალითად, "250-ENHANCEDSTATUSCODES" და "250 HELP"). OpenSMTPD ითვლის, რომ პირველი ხაზი მოიცავს სამნიშნა რიცხვს და ტექსტს, რომელიც გამოყოფილია „-“ სიმბოლოთი, ხოლო მეორე ხაზი შეიცავს სამნიშნა რიცხვს და ტექსტს, რომელიც გამოყოფილია ინტერვალით. თუ სამნიშნა რიცხვს მეორე სტრიქონში არ მოჰყვება ინტერვალი და ტექსტი, მაჩვენებელს, რომელიც გამოიყენება ტექსტის განსასაზღვრად, დაყენებულია ბაიტზე „\0“ სიმბოლოს შემდეგ და მცდელობა ხდება ბოლოში მონაცემების კოპირება. ხაზის ბუფერში.

OpenBSD პროექტის მოთხოვნით, დაუცველობის ექსპლუატაციის შესახებ დეტალების გამოქვეყნება გადაიდო 26 თებერვლამდე, რათა მომხმარებლებს მიეცეთ საშუალება განაახლონ თავიანთი სისტემები. პრობლემა კოდის ბაზაში იყო 2015 წლის დეკემბრიდან, მაგრამ კოდის შესრულებამდე ექსპლუატაცია root პრივილეგიებით შესაძლებელი იყო 2018 წლის მაისიდან. მკვლევარებმა მოამზადეს ექსპლოიტის სამუშაო პროტოტიპი, რომელიც წარმატებით იქნა გამოცდილი OpenSMTPD build-ებში OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 (ტესტირება) და Fedora 31-ისთვის.

OpenSMTPD-ში ასევე იდენტიფიცირებული კიდევ ერთი დაუცველობა (CVE-2020-8793), რომელიც საშუალებას აძლევს ადგილობრივ მომხმარებელს წაიკითხოს სისტემის ნებისმიერი ფაილის პირველი ხაზი. მაგალითად, შეგიძლიათ წაიკითხოთ /etc/master.passwd-ის პირველი ხაზი, რომელიც შეიცავს root მომხმარებლის პაროლის ჰეშს. დაუცველობა ასევე საშუალებას გაძლევთ წაიკითხოთ სხვა მომხმარებლის საკუთრებაში არსებული ფაილის მთლიანი შინაარსი, თუ ეს ფაილი მდებარეობს იმავე ფაილურ სისტემაში, სადაც დირექტორია /var/spool/smtpd/. პრობლემა არ არის ექსპლუატირებადი Linux-ის ბევრ დისტრიბუციაზე, სადაც /proc/sys/fs/protected_hardlinks-ის მნიშვნელობა დაყენებულია 1-ზე.

პრობლემა არასრული აღმოფხვრის შედეგია პრობლემები, გაჟღერდა Qualys-ის მიერ 2015 წელს ჩატარებული აუდიტის დროს. თავდამსხმელს შეუძლია მიაღწიოს თავისი კოდის შესრულებას “_smtpq” ჯგუფის უფლებებით “PATH=.” ცვლადის დაყენებით. და განათავსეთ სკრიპტი სახელად makemap მიმდინარე დირექტორიაში (smtpctl უტილიტა აწარმოებს makemap-ს ბილიკის ცალსახად მითითების გარეშე). "_smtpq" ჯგუფზე წვდომის მოპოვებით, თავდამსხმელს შეუძლია გამოიწვიოს race მდგომარეობა (შექმნას დიდი ფაილი ოფლაინ დირექტორიაში და გაგზავნოს SIGSTOP სიგნალი) და დამუშავების დასრულებამდე, შეცვალოს ფაილი ოფლაინ დირექტორიაში მყარი დისკით. symlink მიუთითებს სამიზნე ფაილზე, რომლის შინაარსი უნდა წაიკითხოთ.

აღსანიშნავია, რომ Fedora 31-ში დაუცველობა საშუალებას გაძლევთ დაუყოვნებლივ მოიპოვოთ root ჯგუფის პრივილეგიები, ვინაიდან smtpctl პროცესი აღჭურვილია setgid root flag-ით, setgid smtpq დროშის ნაცვლად. root ჯგუფზე წვდომის მოპოვებით, შეგიძლიათ გადაწეროთ /var/lib/sss/mc/passwd-ის შინაარსი და მიიღოთ სრული root წვდომა სისტემაში.

წყარო: opennet.ru