시스템에 대한 루트 액세스를 허용하는 Firejail의 취약점

로컬 사용자가 호스트 시스템의 루트가 될 수 있는 취약점(CVE-2022-31214)이 Firejail Application Sandboxing Tool에서 발견되었습니다. firejail 유틸리티가 설치된 openSUSE, Debian, Arch, Gentoo 및 Fedora의 현재 릴리스에서 테스트된 공개 도메인에서 작동하는 익스플로잇이 있습니다. 이 문제는 firejail 0.9.70 릴리스에서 수정되었습니다. 보호를 위한 해결 방법으로 설정(/etc/firejail/firejail.config)에서 "join no" 및 "force-nonewprivs yes" 매개 변수를 설정할 수 있습니다.

Firejail은 격리를 위해 Linux에서 네임스페이스 메커니즘, AppArmor 및 시스템 호출 필터링(seccomp-bpf)을 사용하지만 격리된 시작을 설정하려면 상승된 권한이 필요하며, 이는 suid 루트 플래그 유틸리티에 연결하거나 sudo로 실행하여 얻습니다. 이 취약점은 "--join=" 옵션 논리의 오류로 인해 발생합니다. ”는 실행 중인 프로세스 ID로 환경을 정의하여 이미 실행 중인 격리된 환경(샌드박스 환경의 로그인 명령과 유사)에 연결하도록 설계되었습니다. 권한을 삭제하기 전에 Firejail은 지정된 프로세스의 권한을 감지하고 "--join" 옵션을 사용하여 환경에 참여하는 새 프로세스에 적용합니다.

연결하기 전에 Firejail 환경에서 지정된 프로세스가 실행 중인지 확인합니다. 이 검사는 /run/firejail/mnt/join 파일의 존재를 평가합니다. 취약점을 악용하기 위해 공격자는 마운트 네임스페이스를 사용하여 격리되지 않은 가상의 Firejail 환경을 시뮬레이션한 다음 "-join" 옵션을 사용하여 연결할 수 있습니다. 설정이 새 프로세스(prctl NO_NEW_PRIVS)에서 추가 권한 획득 금지를 활성화하지 않으면 Firejail은 사용자를 가상 환경에 연결하고 초기화의 사용자 식별자(사용자 네임스페이스)의 사용자 네임스페이스 설정을 적용하려고 시도합니다. 프로세스(PID 1).

결과적으로 "firejail --join"을 통해 연결된 프로세스는 변경되지 않은 권한으로 사용자의 원래 사용자 ID 네임스페이스에서 종료되지만 공격자가 완전히 제어하는 ​​다른 마운트 지점 공간에서 종료됩니다. 무엇보다도 공격자는 자신이 생성한 마운트 지점 공간에서 setuid-root 프로그램을 실행할 수 있습니다. 이를 통해 예를 들어 파일 계층 구조에서 /etc/sudoers 설정 또는 PAM 매개변수를 변경하고 다음을 사용하여 루트로 명령을 실행할 수 있습니다. sudo 또는 su 유틸리티.

출처 : opennet.ru