루트 액세스를 허용하는 Enlightenment 사용자 환경의 취약점

권한이 없는 로컬 사용자가 루트 권한으로 코드를 실행할 수 있도록 허용하는 취약점(CVE-2022-37706)이 Enlightenment 사용자 환경에서 확인되었습니다. 해당 취약점은 아직 수정되지 않았지만(0일) Ubuntu 22.04에서 테스트된 공개 도메인에서 이미 사용 가능한 익스플로잇이 있습니다.

문제는 suid 루트 플래그와 함께 제공되고 system()에 대한 호출을 통해 마운트 유틸리티를 사용하여 드라이브를 마운트하는 등 특정 허용된 명령을 수행하는 Enlightment_sys 실행 파일에 있습니다. system() 호출에 전달된 문자열을 생성하는 함수의 잘못된 작동으로 인해 실행 중인 명령의 인수에서 따옴표가 잘려 사용자 고유의 코드를 실행하는 데 사용할 수 있습니다. 예를 들어 mkdir -p /tmp/net mkdir -p "/tmp/;/tmp/exploit" echo "/bin/sh" > /tmp/exploit chmod a+x /tmp/exploit achievement_sys /bin/mount를 실행하는 경우 - o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), “/dev/../tmp/;/tmp/exploit” /tmp// / 그물

큰따옴표 제거로 인해 지정된 명령 '/bin/mount ... "/dev/../tmp/;/tmp/exploit" /tmp///net' 대신 큰따옴표가 없는 문자열은 다음과 같습니다. system() 함수 ' /bin/mount … /dev/../tmp/;/tmp/exploit /tmp///net'에 전달되어 '/tmp/exploit /tmp///net 명령이 실행됩니다. '는 장치 경로의 일부로 처리되지 않고 별도로 실행됩니다. "/dev/../tmp/" 및 "/tmp///net" 행은 Enlightmentment_sys의 mount 명령에 대한 인수 확인을 우회하기 위해 선택됩니다(마운트 장치는 /dev/로 시작하고 기존 파일을 가리켜야 합니다. 필요한 경로 크기를 얻으려면 마운트 지점에 있는 세 개의 "/" 문자가 지정됩니다.

출처 : opennet.ru