Microsoft қауіпсіздік зерттеушілері Nimbuspwn кодтық атауымен аталатын networkd-dispatcher қызметінде артықшылығы жоқ пайдаланушыға root құқықтарымен кез келген командаларды орындауға мүмкіндік беретін екі осалдықты (CVE-2022-29799, CVE-2022-29800) анықтады. Мәселе networkd-dispatcher 2.2 нұсқасында шешілді. Дистрибутивтердің жаңартуларды жариялағаны туралы әзірге ақпарат жоқ.Debian, RHEL, Fedora, SUSE, Ubuntu, Арка Linux).
Networkd-dispatcher көптеген дистрибутивтерде қолданылады. Linux, соның ішінде Ubuntu, желі параметрлерін конфигурациялау үшін systemd-networkd фондық процесін пайдаланады және NetworkManager-dispatcher-ге ұқсас функцияларды орындайды, яғни желілік қосылым күйі өзгерген кезде сценарийлерді іске қосады, мысалы, іске қосу үшін қолданылады VPN негізгі желілік қосылымды орнатқаннан кейін.
Желілік-диспетчермен байланысты фондық процесс түбір ретінде жұмыс істейді және оқиға сигналдарын D-Bus арқылы қабылдайды. Желі қосылымдарының күйіндегі өзгерістерге қатысты оқиғалар туралы ақпаратты systemd-networkd қызметі жібереді. Мәселе мынада, артықшылығы жоқ пайдаланушылар жоқ күй оқиғасын жасай алады және өз сценарийін түбір ретінде орындау үшін іске қоса алады.
Systemd-networkd тек /etc/networkd-dispatcher каталогында орналасқан және пайдаланушы ауыстыру үшін қолжетімсіз жүйе өңдегіш сценарийлерін іске қосуға арналған, бірақ файл жолын өңдеу кодындағы осалдыққа байланысты (CVE-2022-29799) шектен тыс базалық каталог және ерікті сценарийлерді іске қосу мүмкіндігі. Атап айтқанда, сценарийге файл жолын қалыптастыру кезінде D-Bus арқылы жіберілген OperationalState және AdministrativeState мәндері пайдаланылды, оларда арнайы таңбалар тазартылмаған. Шабуылдаушы өз атындағы «../» таңбалары бар өз күйін құра алады және желілік-диспетчер шақыруын басқа каталогқа бағыттай алады.
Екінші осалдық (CVE-2022-29800) жарыс жағдайына қатысты - сценарий параметрлерін тексеру (түбірге тиесілі) және оны іске қосу арасында файлды ауыстыру және тексеруді айналып өту үшін жеткілікті қысқа уақыт кезеңі болды. сценарий түбірлік пайдаланушыға тиесілі. Сонымен қатар, желілік-диспетчер символдық сілтемелерді тексермеді, соның ішінде subprocess.Popen қоңырауы арқылы сценарийлерді іске қосу кезінде, бұл шабуылды ұйымдастыруды айтарлықтай жеңілдетеді.
Операциялық техника:
- «/tmp/nimbuspwn» каталогы және «/tmp/nimbuspwn/poc.d» символдық сілтемесі түбірге тиесілі орындалатын файлдарды тексеру үшін пайдаланылатын «/sbin» каталогын көрсететін құрылады.
- «/sbin» орындалатын файлдар үшін аттас файлдар «/tmp/nimbuspwn» каталогында жасалады, мысалы, «/sbin/vgs» файлы үшін «/tmp/nimbuspwn/vgs» орындалатын файлы болып табылады. шабуылдаушы іске қосқысы келетін код орналастырылған, артықшылығы жоқ пайдаланушыға тиесілі жасалған.
- Сигнал D-Bus арқылы networkd-dispatcher процесіне OperationalState мәні "../../../tmp/nimbuspwn/poc" болып орнатылған күйде жіберіледі. "org.freedesktop.network1" атау кеңістігінде сигнал жіберу үшін systemd-networkd-ке арнайы өңдегіштерді тіркеу мүмкіндігі пайдаланылды, мысалы, gpgv немесе epmd арқылы манипуляциялар жасау арқылы немесе systemd-networkd әдепкі бойынша жұмыс істемейтіндігін пайдалануға болады (мысалы, Linux Жалбыз).
- Сигнал алғаннан кейін Networkd-dispatcher түбірлік пайдаланушыға тиесілі және “/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d” каталогында қолжетімді орындалатын файлдардың тізімін жасайды. ол шын мәнінде «/ sbin» -ге сілтеме жасайды.
- Файлдар тізімі алынған, бірақ сценарий әлі іске қосылмаған сәтте символдық сілтеме «/tmp/nimbuspwn/poc.d» -дан «/tmp/nimbuspwn» бағытына қайта бағытталады және желілік-диспетчер іске қосады. түбірлік құқықтары бар шабуылдаушы орналастырған сценарий.
Ақпарат көзі: opennet.ru
