Snap 패키지 관리 툴킷의 루트 취약점

Qualys는 SUID 루트 플래그와 함께 제공되고 자체 포함 패키지에 배포된 애플리케이션을 위한 실행 가능 환경을 생성하기 위해 snapd 프로세스에서 호출되는 snap-confine 유틸리티에서 올해 세 번째 위험한 취약점(CVE-2022-3328)을 식별했습니다. 스냅 형식으로. 이 취약점으로 인해 권한이 없는 로컬 사용자가 기본 Ubuntu 구성에서 루트로 코드를 실행할 수 있습니다. 이 문제는 snapd 2.57.6 릴리스에서 해결되었습니다. 지원되는 모든 Ubuntu 분기에 대한 패키지 업데이트가 출시되었습니다.

흥미롭게도 문제의 취약점은 유사한 22.04월 snap-confine 취약점을 수정하는 과정에서 도입되었습니다. 연구원들은 Ubuntu Server 2022에 대한 루트 액세스를 제공하는 작동 가능한 익스플로잇을 준비할 수 있었습니다. 이 익스플로잇에는 snap-confine의 취약점 외에도 다중 경로 프로세스의 두 가지 취약점(CVE-41974-2022, CVE-41973-XNUMX)도 포함되어 있습니다. , 권한 있는 명령을 전송할 때 권한 검사를 우회하고 심볼릭 링크를 사용하여 안전하지 않은 작업과 관련됩니다.

snap-confine의 취약점은 소유자를 확인한 후 마운트 시스템을 호출하기 전에 /tmp/snap.$SNAP_NAME 디렉토리를 심볼릭 링크로 대체하는 것을 방지하기 위해 추가된 must_mkdir_and_open_with_perms() 함수의 경쟁 조건으로 인해 발생합니다. 스냅 형식의 패키지에 대한 바인드 마운트 디렉터리를 호출합니다. 추가된 보호 기능은 /tmp/snap.$SNAP_NAME 디렉토리가 존재하고 루트가 소유하지 않은 경우 임의의 이름을 사용하여 /tmp에 있는 다른 디렉토리로 이름을 바꾸는 것입니다.

연구원들은 /tmp/snap.$SNAP_NAME 디렉터리 이름 변경 작업을 활용할 때 snap-confine이 snap 패키지 콘텐츠의 루트에 대한 /tmp/snap.rootfs_XXXXXX 디렉터리도 생성한다는 사실을 활용했습니다. 이름의 "XXXXXX" 부분은 mkdtemp()에 의해 무작위로 선택되지만 "rootfs_XXXXXX"라는 패키지는 sc_instance_name_validate 함수에서 유효성을 검사할 수 있습니다(즉, $SNAP_NAME이 "rootfs_XXXXXX"로 설정되고 이름 바꾸기 작업이 수행된다는 아이디어입니다) 결과적으로 /tmp/snap.rootfs_XXXXXX 디렉토리를 루트 스냅으로 덮어쓰게 됩니다.

/tmp/snap.rootfs_XXXXXX를 동시에 사용하고 /tmp/snap.$SNAP_NAME 이름을 바꾸기 위해 두 개의 snap-confine 인스턴스가 시작되었습니다. 첫 번째 인스턴스가 /tmp/snap.rootfs_XXXXXX를 생성하면 프로세스가 차단되고 두 번째 인스턴스가 패키지 이름 rootfs_XXXXXX로 시작되어 두 번째 인스턴스의 임시 디렉터리 /tmp/snap.$SNAP_NAME이 루트 디렉터리 /tmp/snap이 됩니다. 첫 번째의 .rootfs_XXXXXX. 이름 변경이 완료된 직후 두 번째 인스턴스가 충돌하고 XNUMX월 취약점을 악용할 때와 마찬가지로 /tmp/snap.rootfs_XXXXXX가 경쟁 조건 조작으로 대체되었습니다. 대체 후 첫 번째 인스턴스에서 실행 잠금이 제거되었고 공격자는 스냅 루트 디렉터리에 대한 모든 권한을 얻었습니다.

마지막 단계는 sc_bootstrap_mount_namespace() 함수가 쓰기 가능한 실제 디렉토리 /tmp를 파일 시스템의 임의 디렉토리에 바인드 마운트하는 데 사용되는 심볼릭 링크 /tmp/snap.rootfs_XXXXXX/tmp를 만드는 것이었습니다. 마운트하기 전에 심볼릭 링크를 따릅니다. 이러한 마운트는 AppArmor 제한 사항에 의해 차단되지만 이 차단을 우회하기 위해 익스플로잇은 multipathd의 두 가지 보조 취약점을 사용했습니다.

출처 : opennet.ru