Attālināti izmantojama ievainojamība qmail pasta serverī

Drošības pētnieki no Qualys ir parādījuši iespēja ekspluatācija ievainojamības qmail pasta serverī, slavens tālajā 2005. gadā (CVE-2005-1513), taču palika bez ielāpiem, jo ​​qmail autors apgalvoja, ka nav reāli izveidot funkcionējošu izmantošanu, ko varētu izmantot, lai uzbruktu sistēmām noklusējuma konfigurācijā. Qualys spēja sagatavot ekspluatāciju, kas atspēko šo pieņēmumu un ļauj uzsākt attālinātu koda izpildi serverī, nosūtot īpaši izstrādātu ziņojumu.

Problēmu izraisa vesela skaitļa pārpilde funkcijā stralloc_readyplus(), kas var rasties, apstrādājot ļoti lielu ziņojumu. Darbībai bija nepieciešama 64 bitu sistēma ar vairāk nekā 4 GB virtuālās atmiņas. Kad ievainojamība tika sākotnēji analizēta 2005. gadā, Daniels J. Bernsteins apgalvoja, ka kodā ietvertais pieņēmums, ka piešķirtā masīva lielums vienmēr nepārsniedz 32 bitu vērtību, ir balstīts uz faktu, ka neviens katram procesam nenodrošina gigabaitus atmiņas. Pēdējo 15 gadu laikā 64 bitu sistēmas serveros ir aizstājušas 32 bitu sistēmas, un piegādātās atmiņas apjoms un tīkla joslas platums ir dramatiski palielinājies.

Qmail pakotņu uzturētāji ņēma vērā Bernstein piezīmi un ierobežoja pieejamo atmiņu, startējot qmail-smtpd procesu (piemēram, Debian 10 ierobežojums ir iestatīts uz 7 MB). Taču Qualys inženieri atklāja, ka ar to nepietiek, un papildus qmail-smtpd var veikt attālu uzbrukumu qmail-local procesam, kas palika neierobežots visās pārbaudītajās pakotnēs. Kā pierādījums tika sagatavots ekspluatācijas prototips, kas bija piemērots uzbrukumam Debian pakotnei ar qmail noklusējuma konfigurācijā.
Lai organizētu attālu koda izpildi uzbrukuma laikā, serverim ir nepieciešami 4 GB brīvas vietas diskā un 8 GB RAM.
Ekspluatācija ļauj palaist jebkuras čaulas komandas ar jebkura lietotāja tiesībām sistēmā, izņemot saknes un sistēmas lietotājus, kuriem direktorijā “/home” nav sava apakšdirektorija (tiek palaists qmail-local process ar tiesībām vietējais lietotājs, kuram piegāde tiek veikta).

Uzbrukums tiek veikts
nosūtot ļoti lielu pasta ziņojumu, ieskaitot vairākas galvenes, aptuveni 4 GB un 576 MB. Šādas virknes apstrāde programmā qmail-local rada veselu skaitļu pārpildīšanu, mēģinot piegādāt ziņojumu vietējam lietotājam. Vesela skaitļa pārpilde noved pie bufera pārpildes, kopējot datus un iespēju pārrakstīt atmiņas lapas ar libc kodu. Manipulējot ar pārsūtīto datu izkārtojumu, iespējams arī pārrakstīt funkcijas “open()” adresi, aizstājot to ar funkcijas “system()” adresi.

Pēc tam, izsaucot qmesearch() programmā qmail-local, fails “.qmail-extension” tiek atvērts, izmantojot funkciju open(), kas noved pie funkcijas faktiskās izpildes.
system(".qmail-extension"). Taču, tā kā faila daļa “paplašinājums” tiek ģenerēta, pamatojoties uz adresāta adresi (piemēram, “localuser-extension@localdomain”), uzbrucēji var organizēt komandas nosūtīšanu, norādot lietotāju “localuser-;command”. ;@localdomain” kā ziņojuma adresātu.

Koda analīzes laikā tika konstatētas arī divas ievainojamības papildu qmail-verify ielāpā, kas ir daļa no Debian pakotnes. Pirmā ievainojamība (CVE-2020-3811) ļauj apiet e-pasta adreses verifikāciju, bet otrā (CVE-2020-3812) noved pie vietējās informācijas noplūdes. Konkrēti, pirmā ievainojamība ļauj apiet komandas nosūtīšanas izmantošanā izmantotās adreses pareizības pārbaudi (pārbaude nedarbojas adresēm bez domēna, piemēram, “localuser-;command;”). Otro ievainojamību var izmantot, lai pārbaudītu failu un direktoriju klātbūtni sistēmā, tostarp tos, kas pieejami tikai root (qmail-verify darbojas ar root tiesībām), izmantojot tiešu zvanu vietējam apdarinātājam.

Lai novērstu problēmu, Bernstein ieteica palaist qmail procesus ar kopējo pieejamās atmiņas ierobežojumu (“softlimit -m12345678”), un tādā gadījumā problēma tiek bloķēta. Kā alternatīva aizsardzības metode tiek minēta arī apstrādātā ziņojuma maksimālā izmēra ierobežošana, izmantojot failu “control/databaites” (pēc noklusējuma tas netiek izveidots ar noklusējuma iestatījumiem, qmail paliek neaizsargāts). Turklāt "kontrole/databaiti" neaizsargā pret vietējiem sistēmas lietotāju uzbrukumiem, jo ​​ierobežojumu ņem vērā tikai qmail-smtpd.

Problēma ietekmē iepakojumu netqmail, iekļauts Debian krātuvēs. Šai pakotnei ir sagatavots ielāpu komplekts, kas novērš gan vecās ievainojamības no 2005.gada (pievienojot cietās atmiņas ierobežojumus funkcijas kodam alloc()), gan jaunas problēmas programmā qmail-verify. Atsevišķi sagatavots qmail-verify ielāpa atjauninātā versija. Izstrādātāji filiāles notqmail sagatavoja savus ielāpus, lai bloķētu vecās problēmas, kā arī sāka strādāt, lai novērstu visas iespējamās veselu skaitļu pārpildes kodā.

Avots: opennet.ru