대부분의 Linux 배포판에서 루트 액세스를 허용하는 PolKit의 심각한 취약점

Qualys는 권한 없는 사용자가 높은 액세스 권한이 필요한 작업을 수행할 수 있도록 배포판에 사용되는 Polkit(이전의 PolicyKit) 시스템 구성 요소에서 취약점(CVE-2021-4034)을 확인했습니다. 이 취약점으로 인해 권한이 없는 로컬 사용자가 자신의 권한을 루트로 승격하고 시스템에 대한 모든 권한을 얻을 수 있습니다. 문제의 코드명은 PwnKit였으며 대부분의 Linux 배포판의 기본 구성에서 실행되는 작동하는 익스플로잇을 생성하는 것으로 유명합니다.

문제는 SUID 루트 플래그와 함께 제공되고 지정된 PolKit 규칙에 따라 다른 사용자의 권한으로 명령을 실행하도록 설계된 PolKit의 pkexec 유틸리티에 있습니다. pkexec에 전달된 명령줄 인수의 잘못된 처리로 인해 권한이 없는 사용자는 설정된 액세스 규칙에 관계없이 인증을 우회하고 루트로 코드를 실행할 수 있습니다. 공격의 경우 PolKit에 어떤 설정과 제한 사항이 지정되어 있는지는 중요하지 않으며 pkexec 유틸리티를 사용하여 실행 파일에 대해 SUID 루트 속성을 설정하는 것으로 충분합니다.

Pkexec는 프로세스를 시작할 때 전달된 명령줄 인수 개수(argc)의 유효성을 확인하지 않습니다. pkexec 개발자는 argv 배열의 첫 번째 항목에는 항상 프로세스 이름(pkexec)이 포함되고 두 번째 항목에는 NULL 값 또는 pkexec를 통해 실행된 명령 이름이 포함된다고 가정했습니다. 인수 개수는 배열의 실제 내용과 비교하여 확인되지 않았고 항상 1보다 큰 것으로 가정되었기 때문에 Linux execve 함수에서 허용하는 것처럼 프로세스에 빈 argv 배열이 전달된 경우 pkexec는 NULL을 첫 번째 인수로 처리합니다( 프로세스 이름) 및 다음 배열의 내용과 같이 버퍼 메모리 외부에 있는 것입니다. |———+———+——+————|———+———+——+————| | 인수[0] | 인수[1] | ... | 인수[argc] | 환경[0] | 환경[1] | ... | 환경[환경] | |—-|—-+—-|—-+——+——|——|—-|—-+—-|—-+——+——|——| VVVVVV "프로그램" "-옵션" NULL "값" "PATH=이름" NULL

문제는 argv 배열 뒤에 환경 변수를 포함하는 메모리에 envp 배열이 있다는 것입니다. 따라서 argv 배열이 비어 있으면 pkexec는 환경 변수(argv[1]가 envp[0]와 동일해짐)가 있는 배열의 첫 번째 요소에서 상승된 권한으로 실행되는 명령에 대한 데이터를 추출하며 그 내용을 제어할 수 있습니다. 공격자에 의해.

argv[1]의 값을 수신하면 pkexec는 PATH의 파일 경로를 고려하여 실행 파일의 전체 경로를 확인하고 전체 경로가 포함된 문자열에 포인터를 다시 argv[1]에 씁니다. argv[ 1]은 envp[0]과 동일하므로 첫 번째 환경 변수의 값을 덮어쓰게 됩니다. 공격자는 첫 번째 환경 변수의 이름을 조작하여 pkexec에서 다른 환경 변수를 대체할 수 있습니다. 예를 들어 suid 프로그램에서 허용되지 않는 "LD_PRELOAD" 환경 변수를 대체하고 공유 라이브러리가 pkexec에 로드되도록 배열할 수 있습니다. 프로세스.

작동하는 익스플로잇에는 g_printerr() 함수를 호출할 때 동적으로 로드되는 기호 트랜스코딩 라이브러리에 대한 경로를 결정하는 데 사용되는 GCONV_PATH 변수를 대체하는 작업이 포함됩니다. 이 변수의 코드는 iconv_open()을 사용합니다. GCONV_PATH에서 경로를 재정의함으로써 공격자는 로드된 표준 iconv 라이브러리가 아니라 자체 라이브러리, pkexec가 여전히 실행 중인 단계에서 오류 메시지가 표시될 때 실행되는 핸들러인지 확인할 수 있습니다. 루트 권한과 시작 권한이 확인되기 전입니다.

문제가 메모리 손상으로 인해 발생한다는 사실에도 불구하고 사용되는 하드웨어 아키텍처에 관계없이 안정적이고 반복적으로 악용될 수 있습니다. 준비된 익스플로잇은 Ubuntu, Debian, Fedora 및 CentOS에서 성공적으로 테스트되었지만 다른 배포판에서도 사용할 수 있습니다. 원래의 익스플로잇은 아직 공개되지 않았으며 이는 사소하고 다른 연구자가 쉽게 재현할 수 있음을 나타냅니다. 따라서 다중 사용자 시스템에서는 가능한 한 빨리 패치 업데이트를 설치하는 것이 중요합니다. Polkit은 BSD 시스템 및 Solaris에서도 사용할 수 있지만 해당 시스템에서의 사용에 대해서는 연구된 바가 없습니다. 알려진 것은 OpenBSD 커널이 execve()가 호출될 때 null argc 값 전달을 허용하지 않기 때문에 OpenBSD에서는 공격을 수행할 수 없다는 것입니다.

이 문제는 pkexec 명령이 추가된 이후인 2009년 6월부터 발생했습니다. PolKit 취약점에 대한 수정 사항은 현재 패치로 제공되지만(패치 릴리스는 릴리스되지 않음) 배포판 개발자에게 사전에 문제를 통보했기 때문에 대부분의 배포판에서는 취약점에 대한 정보 공개와 동시에 업데이트를 게시했습니다. 이 문제는 RHEL 7/8/0755, Debian, Ubuntu, openSUSE, SUSE, Fedora, ALT Linux, ROSA, Gentoo, Void Linux, Arch Linux 및 Manjaro에서 해결되었습니다. 취약점을 차단하기 위한 임시 조치로 /usr/bin/pkexec 프로그램(“chmod XNUMX /usr/bin/pkexec”)에서 SUID 루트 플래그를 제거할 수 있습니다.

출처 : opennet.ru