smtpd, ldapd 및 radiusd에서 권한 에스컬레이션 및 인증 우회를 허용하는 OpenBSD의 취약성

퀄리스 컴퍼니 노출된 네 취약점 OpenBSD에서 이 중 하나는 일부 네트워크 서비스에 대한 인증 없이 원격으로 연결할 수 있도록 하고 나머지 세 개는 시스템에서 권한을 증가시킵니다. Qualys 보고서는 OpenBSD 개발자의 신속한 대응에 주목했습니다. 제거 в 오픈BSD 6.5 и 오픈BSD 6.6 개별 통보 후 40시간 이내

원격으로 악용 가능한 취약점은 libc 라이브러리에서 인증 처리기에 대한 호출을 정렬하는 오류로 인해 발생합니다.
명령줄에서 인수를 전달하는 /usr/libexec/auth/login_style 프로그램. 선택적 매개변수 "-s service"를 사용하여 login_style을 호출할 때를 포함하여 프로토콜 이름 전달이 허용됩니다. 사용자 이름 앞에 "-" 문자가 사용되면 login_style이 실행될 때 이 이름이 옵션으로 처리됩니다. 따라서 인증 시 사용자 이름으로 "-schallenge" 또는 "-schallenge: passwd"를 지정하면 login_style은 요청을 핸들러 사용 요청으로 인식합니다. S/키.

문제는 login_style의 S/Key 프로토콜이 형식적으로만 지원되고 실제로는 인증성공 신호 출력과 함께 무시된다는 점이다. 따라서 공격자는 "-schallenge" 사용자로 가장하여 인증을 우회하고 암호나 키를 지정하지 않고 액세스 권한을 얻을 수 있습니다. 인증을 위해 일반 libc 호출을 사용하는 모든 네트워크 서비스가 잠재적으로 문제의 영향을 받습니다. 예를 들어 인증을 우회하는 기능은 smtpd(AUTH PLAIN), ldapd 및 radiusd에서 확인됩니다.

취약점은 시스템에서 사용자의 존재를 확인하는 추가 보호 기능이 있기 때문에 sshd에서 자체적으로 나타나지 않습니다. 그러나 sshd는 시스템이 취약성에 취약한지 테스트하는 데 사용할 수 있습니다. 사용자 이름 "-sresponse:passwd"에 액세스할 때 sshd가 login_passwd가 호출(챌린지)의 매개 변수를 반환할 때까지 대기하고 login_passwd가 대기하므로 연결이 중단됩니다. 누락된 매개변수의 전송을 기다립니다(이름 "-sresponse"는 옵션으로 사용됨). 잠재적인 로컬 공격자는 su 유틸리티에서 인증을 우회하려고 시도할 수 있지만 "-sresponse"라는 이름을 전달하면 getpwnam_r("-schallenge", ...) 함수를 실행할 때 null 포인터 반환으로 인해 프로세스가 충돌합니다. .

기타 취약점:

• CVE-2019-19520 - 그룹을 "auth"로 변경하는 sgid 플래그와 함께 제공되는 xlock 유틸리티 조작을 통한 로컬 권한 상승. xlock 코드에서 라이브러리 경로의 재정의는 사용자 ID(setuid)가 변경된 경우에만 금지되며, 이는 공격자가 환경 변수 "LIBGL_DRIVERS_PATH"를 변경하고 코드가 실행될 공유 라이브러리의 로드를 구성할 수 있도록 합니다. "auth" 그룹으로 권한 에스컬레이션 후.
• CVE-2019-19522 - 시스템에서 S/Key 또는 YubiKey 인증이 활성화된 경우(기본적으로 활성화되지 않음) "auth" 그룹의 로컬 사용자가 루트로 코드를 실행할 수 있습니다. 위의 xlock 취약점을 악용하여 액세스할 수 있는 "auth" 그룹의 구성원이 되면 /etc/skey 및 /var/db/yubikey 디렉토리에 파일을 쓸 수 있습니다. 예를 들어 공격자는 새로운 /etc/skey/root 파일을 추가하여 S/Key를 통한 루트 인증을 위한 일회성 키를 생성할 수 있습니다.
• CVE-2019-19519 - su 유틸리티를 사용한 조작을 통해 리소스 제한을 늘릴 수 있습니다. 실패한 경우 인증 시도의 주기적 반복을 의미하는 "-L" 옵션을 지정할 때 사용자 클래스는 한 번만 설정되며 후속 시도에서 재설정되지 않습니다. 공격자는 다른 계정 클래스로 다른 사람의 로그인을 입력하려는 첫 번째 시도에서 "su -l -L"을 실행할 수 있지만 두 번째 시도에서 성공적으로 자신을 인증할 수 있습니다. 이 상황에서 사용자는 첫 번째 시도에서 지정된 사용자 클래스에 해당하는 제한을 설정합니다(예: 최대 프로세스 수 또는 프로세스의 메모리 크기). 루트 사용자가 휠 그룹에 있어야 하므로 이 방법은 권한이 없는 사용자로부터 한도를 빌릴 때만 작동합니다.

추가적으로 주목할 수 있는 것은 구현 OpenBSD에서는 시스템 호출의 유효성을 검사하는 새로운 방법으로 취약점 악용을 더욱 복잡하게 만듭니다. 이 방법은 이전에 등록된 메모리 영역에서 액세스한 경우에만 시스템 호출이 실행되도록 합니다. 메모리 영역을 표시하려면 제안 새로운 시스템 호출 msyscall().

출처 : opennet.ru