루트 액세스를 허용하는 Enlightenment 사용자 환경의 취약점

Enlightenment 사용자 환경에서 권한이 없는 로컬 사용자가 루트 권한으로 코드를 실행할 수 있는 취약점(CVE-2022-37706)이 발견되었습니다. 이 취약점은 아직 패치되지 않았지만(제로데이 취약점), 공개적으로 테스트된 익스플로잇이 이미 존재합니다. Ubuntu 22.04.

문제는 suid 루트 플래그와 함께 제공되고 system()에 대한 호출을 통해 마운트 유틸리티를 사용하여 드라이브를 마운트하는 등 특정 허용된 명령을 수행하는 Enlightment_sys 실행 파일에 있습니다. system() 호출에 전달된 문자열을 생성하는 함수의 잘못된 작동으로 인해 실행 중인 명령의 인수에서 따옴표가 잘려 사용자 고유의 코드를 실행하는 데 사용할 수 있습니다. 예를 들어 mkdir -p /tmp/net mkdir -p "/tmp/;/tmp/exploit" echo "/bin/sh" > /tmp/exploit chmod a+x /tmp/exploit achievement_sys /bin/mount를 실행하는 경우 - o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), “/dev/../tmp/;/tmp/exploit” /tmp// / 그물

큰따옴표 제거로 인해 지정된 명령 '/bin/mount ... "/dev/../tmp/;/tmp/exploit" /tmp///net' 대신 큰따옴표가 없는 문자열은 다음과 같습니다. system() 함수 ' /bin/mount … /dev/../tmp/;/tmp/exploit /tmp///net'에 전달되어 '/tmp/exploit /tmp///net 명령이 실행됩니다. '는 장치 경로의 일부로 처리되지 않고 별도로 실행됩니다. "/dev/../tmp/" 및 "/tmp///net" 행은 Enlightmentment_sys의 mount 명령에 대한 인수 확인을 우회하기 위해 선택됩니다(마운트 장치는 /dev/로 시작하고 기존 파일을 가리켜야 합니다. 필요한 경로 크기를 얻으려면 마운트 지점에 있는 세 개의 "/" 문자가 지정됩니다.

출처 : opennet.ru