suid 프로그램의 메모리 내용을 확인할 수 있는 systemd-coredump의 취약점

프로세스 충돌 후 생성된 코어 파일을 처리하는 systemd-coredump 구성 요소에서 취약점(CVE-2022-4415)이 식별되어 권한이 없는 로컬 사용자가 suid 루트 플래그로 실행되는 권한 있는 프로세스의 메모리 내용을 확인할 수 있습니다. openSUSE, Arch, Debian, Fedora 및 SLES 배포판에서 기본 구성 문제가 확인되었습니다.

이 취약점은 systemd-coredump의 fs.suid_dumpable sysctl 매개변수가 올바르게 처리되지 않아 발생합니다. 기본값 2로 설정하면 suid 플래그가 있는 프로세스에 대한 코어 덤프 생성이 허용됩니다. 커널이 작성한 suid 프로세스의 핵심 파일에는 루트 사용자만 읽을 수 있도록 설정된 액세스 권한이 있어야 하는 것으로 이해됩니다. 코어 파일을 저장하기 위해 커널에서 호출되는 systemd-coredump 유틸리티는 루트 ID 아래에 코어 파일을 저장하지만 프로세스를 원래 시작한 소유자의 ID를 기반으로 코어 파일에 대한 ACL 기반 읽기 액세스를 추가로 제공합니다. .

이 기능을 사용하면 프로그램이 사용자 ID를 변경하고 높은 권한으로 실행할 수 있다는 사실에 관계없이 핵심 파일을 다운로드할 수 있습니다. 공격은 사용자가 suid 애플리케이션을 실행하고 SIGSEGV 신호를 보낸 다음 비정상적으로 종료되는 동안 프로세스의 메모리 슬라이스를 포함하는 코어 파일의 내용을 로드할 수 있다는 사실로 요약됩니다.

예를 들어, 사용자는 "/usr/bin/su"를 실행하고 다른 터미널에서 "kill -s SIGSEGV `pidof su`" 명령을 사용하여 실행을 종료할 수 있습니다. 그 후 systemd-coredump는 코어 파일을 /var에 저장합니다. /lib/systemd/ 디렉토리 coredump, 현재 사용자가 읽을 수 있도록 ACL을 설정합니다. suid 유틸리티 'su'는 /etc/shadow의 내용을 메모리로 읽어 들이므로 공격자는 시스템에 있는 모든 사용자의 비밀번호 해시에 대한 정보에 접근할 수 있습니다. sudo 유틸리티는 ulimit를 통한 코어 파일 생성을 금지하므로 공격에 취약하지 않습니다.

systemd 개발자에 따르면 취약점은 systemd 릴리스 247(2020년 246월)부터 나타나나, 문제를 확인한 연구원에 따르면 릴리스 0도 영향을 받는다고 합니다. 모든 인기 배포판). 수정 사항은 현재 패치로 제공됩니다. Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Gentoo, Arch 페이지에서 배포판의 수정 사항을 추적할 수 있습니다. 보안 해결 방법으로 sysctl fs.suid_dumpable을 XNUMX으로 설정하여 systemd-coredump 핸들러로 덤프를 보내는 것을 비활성화할 수 있습니다.

출처 : opennet.ru