დაუცველობა OpenSMTPD-ში, რომელიც იძლევა დისტანციური და ლოკალური root წვდომის საშუალებას

Qualys Company გამოავლინა კიდევ ერთი დისტანციური კრიტიკული დაუცველობა (CVE-2020-8794) ფოსტის სერვერზე OpenSMTPD, შემუშავებული OpenBSD პროექტის მიერ. ისევე როგორც იანვრის ბოლოს გამოვლენილი დაუცველობა, ახალი საკითხი შესაძლებელს ხდის დისტანციურად შესრულდეს თვითნებური გარსის ბრძანებები სერვერზე root მომხმარებლის უფლებებით. დაუცველობა აღმოფხვრილი საკითხში OpenSMTPD 6.6.4p1.

პრობლემა გამოწვეულია კოდში შეცდომით, რომელიც აწვდის ფოსტს დისტანციურ ფოსტის სერვერზე (და არა იმ კოდში, რომელიც ამუშავებს შემომავალ კავშირებს). შეტევა შესაძლებელია როგორც კლიენტის, ასევე სერვერის მხრიდან. კლიენტის მხრიდან, შეტევა შესაძლებელია OpenSMTPD-ის ნაგულისხმევ კონფიგურაციაში, რომელშიც OpenSMTPD იღებს მოთხოვნებს მხოლოდ შიდა ქსელის ინტერფეისზე (localhost) და აგზავნის ფოსტის შეტყობინებებს გარე სერვერებზე. დაუცველობის გამოსაყენებლად, საკმარისია, რომ წერილის მიწოდების დროს OpenSMTPD დაამყაროს სესია ფოსტის სერვერთან, რომელსაც აკონტროლებს თავდამსხმელი, ან რომ თავდამსხმელმა შეძლოს კლიენტის კავშირში ჩასმა (MITM ან გადამისამართება შეტევების დროს DNS ან BGP-ის საშუალებით. ).

სერვერის მხრიდან შეტევისთვის, OpenSMTPD უნდა იყოს კონფიგურირებული ისე, რომ მიიღოს გარე ქსელის მოთხოვნები სხვა ფოსტის სერვერებიდან ან მოემსახუროს მესამე მხარის სერვისებს, რომლებიც საშუალებას მოგცემთ გაგზავნოთ მოთხოვნა თვითნებურ ელფოსტაზე (მაგალითად, მისამართის დადასტურების ფორმები ვებსაიტებზე). მაგალითად, თავდამსხმელს შეუძლია დაუკავშირდეს OpenSMTPD სერვერს და გაუგზავნოს არასწორი წერილი (არარსებულ მომხმარებელს), რაც გამოიწვევს პასუხს, რომელიც გაგზავნის წერილს შეცდომის კოდით (bounce) თავდამსხმელის სერვერზე. თავდამსხმელს შეუძლია გამოიყენოს დაუცველობა, როდესაც OpenSMTPD უკავშირდება, რათა შეტყობინებები მიაწოდოს თავდამსხმელის სერვერს. შეტევის დროს შეყვანილი გარსის ბრძანებები მოთავსებულია ფაილში, რომელიც შესრულებულია root უფლებებით, როდესაც OpenSMTPD გადაიტვირთება, ამიტომ თავდამსხმელმა უნდა დაელოდოს OpenSMTPD გადატვირთვას ან დაიწყოს OpenSMTPD-ის ავარია შეტევის დასასრულებლად.

პრობლემა გვხვდება mta_io() ფუნქციაში, კოდში, დისტანციური სერვერის მიერ დაბრუნებული მრავალხაზოვანი პასუხის ანალიზისთვის, კავშირის დამყარების შემდეგ (მაგალითად, "250-ENHANCEDSTATUSCODES" და "250 HELP"). OpenSMTPD ითვლის, რომ პირველი ხაზი მოიცავს სამნიშნა რიცხვს და ტექსტს, რომელიც გამოყოფილია „-“ სიმბოლოთი, ხოლო მეორე ხაზი შეიცავს სამნიშნა რიცხვს და ტექსტს, რომელიც გამოყოფილია ინტერვალით. თუ სამნიშნა რიცხვს მეორე სტრიქონში არ მოჰყვება ინტერვალი და ტექსტი, მაჩვენებელს, რომელიც გამოიყენება ტექსტის განსასაზღვრად, დაყენებულია ბაიტზე „\0“ სიმბოლოს შემდეგ და მცდელობა ხდება ბოლოში მონაცემების კოპირება. ხაზის ბუფერში.

OpenBSD პროექტის მოთხოვნით, ამ დაუცველობის ექსპლოიტის დეტალების გამოქვეყნება 26 თებერვლამდე გადაიდო, რათა მომხმარებლებს შეეძლოთ თავიანთი სისტემების განახლება. პრობლემა კოდის ბაზაში 2015 წლის დეკემბრიდან არსებობს, მაგრამ root კოდის შესრულებამდე ექსპლოიტაცია 2018 წლის მაისიდან არის შესაძლებელი. მკვლევარებმა მოამზადეს მოქმედი ექსპლოიტის პროტოტიპი, რომელიც წარმატებით გამოიცადა OpenSMTPD ბილდებში OpenBSD 6.6, OpenBSD 5.9 ვერსიებისთვის. Debian 10, Debian 11 (ტესტირება) და Fedora 31.

OpenSMTPD-ში ასევე იდენტიფიცირებული კიდევ ერთი დაუცველობა (CVE-2020-8793) ლოკალურ მომხმარებელს საშუალებას აძლევს წაიკითხოს სისტემაში არსებული ნებისმიერი ფაილის პირველი ხაზი. მაგალითად, შესაძლებელია /etc/master.passwd-ის პირველი ხაზის წაკითხვა, რომელიც შეიცავს root მომხმარებლის პაროლის ჰეშს. დაუცველობა ასევე საშუალებას იძლევა წაიკითხოს სხვა მომხმარებლის კუთვნილი ფაილის მთელი შინაარსი, თუ ეს ფაილი მდებარეობს იმავე ფაილურ სისტემაში, რომელშიც /var/spool/smtpd/ დირექტორია. ეს პრობლემა ბევრ დისტრიბუციაზე არ არის ექსპლუატაციაში. Linux, რომელშიც /proc/sys/fs/protected_hardlinks-ის მნიშვნელობა 1-ზეა დაყენებული.

პრობლემა არასრული აღმოფხვრის შედეგია პრობლემები, გაჟღერდა Qualys-ის მიერ 2015 წელს ჩატარებული აუდიტის დროს. თავდამსხმელს შეუძლია მიაღწიოს თავისი კოდის შესრულებას “_smtpq” ჯგუფის უფლებებით “PATH=.” ცვლადის დაყენებით. და განათავსეთ სკრიპტი სახელად makemap მიმდინარე დირექტორიაში (smtpctl უტილიტა აწარმოებს makemap-ს ბილიკის ცალსახად მითითების გარეშე). "_smtpq" ჯგუფზე წვდომის მოპოვებით, თავდამსხმელს შეუძლია გამოიწვიოს race მდგომარეობა (შექმნას დიდი ფაილი ოფლაინ დირექტორიაში და გაგზავნოს SIGSTOP სიგნალი) და დამუშავების დასრულებამდე, შეცვალოს ფაილი ოფლაინ დირექტორიაში მყარი დისკით. symlink მიუთითებს სამიზნე ფაილზე, რომლის შინაარსი უნდა წაიკითხოთ.

აღსანიშნავია, რომ Fedora 31-ში დაუცველობა საშუალებას გაძლევთ დაუყოვნებლივ მოიპოვოთ root ჯგუფის პრივილეგიები, ვინაიდან smtpctl პროცესი აღჭურვილია setgid root flag-ით, setgid smtpq დროშის ნაცვლად. root ჯგუფზე წვდომის მოპოვებით, შეგიძლიათ გადაწეროთ /var/lib/sss/mc/passwd-ის შინაარსი და მიიღოთ სრული root წვდომა სისტემაში.

წყარო: opennet.ru