Securitas investigatores Microsoft duo vulnerabilitates (CVE-2022-29799, CVE-2022-29800) identificaverunt in servitio networkd-dispatorum, Nimbuspwn codenamedi, qui permittunt usorem gratuitum ut arbitraria mandata cum privilegiis radicibus exsequantur. Quaestio certa est in emissione retis-dispatcheri 2.2. Nulla notitia de publicatione renovationum per distributiones adhuc (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux).
Networkd-dispatcher in multis distributionibus Linux, incluso Ubuntu, utitur, qui processus curriculi systematis-retis utuntur ad parametri retiacula configuranda, et functiones similes cum NetworkManager-dispatchero fungitur, i.e. in scriptis deducendis occupatum est, cum status nexus retis mutatur, exempli gratia, VPN mittere adhibetur postquam iunctio reticularis principalis constiterit.
Processus curriculi coniungitur cum networkd-dispatcher ut radix currit et eventus significationibus per D-Bus accipit. Informationes de eventuum ad mutationes in statu necessitudinum retis pertinentium a servitute systemd-retis mittitur. Problema est quod utentes sine privilegio non existentem statum eventum generare possunt et felis scripturam suam tamquam radicem exsecutioni mandari.
Systemd-networkd ordinatur ad solum scriptorum systematis tracto, in directorio /etc/networkd-dispatcheri sito, et non pervia usoris reposito, sed propter vulnerabilitatem (CVE-2022-29799) in tabella viae processus codici, erat de possibilitate an-ex terminis basi presul et scriptis arbitrariis deducendis. Praesertim cum tabella iter ad scriptionem formans, valores OperationalState et AdministrativeState per D-Bus transmissi adhibiti sunt, in quibus specialia ingenia non purgabantur. Oppugnator suam statum generare potuit, cuius nomen characteres "../" continebat et ad alium directorium vocatum retiaculum-dispatcher reducere potuit.
Secunda passibilitas (CVE-2022-29800) ad conditionem generis refertur - inter parametris scriptionis retentationem (ad radicem pertinentem) et curfum, breve temporis spatium fuit, sufficit ad reponendam tabellam et perspiciendam num. radix scriptor pertinet ad usor. Praeterea, networkd-dispatcher non repressit nexus symbolicos, etiam cum scripta currit per subprocess. Popen vocationem, quae signanter simpliciorem fecit ordinationem oppugnationis.
Ars operandi:
- Directorium "/tmp/nimbuspwn" et nexus symbolicus "/tmp/nimbuspwn/poc.d" creantur monstrantes indicem "/sbin", quod ad reprimendam files exsecutabiles ab radice possidetur.
- Documenta exsecutabilia de "/sbin", fasciculi eiusdem nominis creantur in directorio "/tmp/nimbuspwn", exempli gratia, pro tabella "/sbin/vgs" tabella exsecutabilis "/tmp/nimbuspwn/vgs" est creatus, ab usore gratuito possessus, in quem codicem oppugnatorem decurrere vult positum est.
- Signum mittitur per D-Bus ad processum networkd-dispatcher significans valorem "../../../tmp/nimbuspwn/poc" in OperationalState. Signum mittere in spatio nominali "org.freedesktop.network1", facultas connectendi suos tracto ad systemd-networkd adhibitum est, exempli gratia, per manipulationes cum gpgv vel epmd, vel eo quod systemd-networkd uti potes. non currit per defaltam (exempli gratia in Linux Mint).
- Accepto signo, Networkd-dispatcher ponit elenchum imaginum exsecutabilium ab usuario radice possesso et in indice "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d", quod actualiter cum "/sbin" coniungit.
- In momento cum catalogus imaginum recipitur, sed scriptum nondum est immissum, ligamen symbolica directa est ab "/tmp/nimbuspwn/poc.d" ad "/tmp/nimbuspwn" et networkd-dispatcher deducet script hosted by oppugnator with root rights.
Source: opennet.ru