Критична ранливост во PolKit што дозволува root пристап на повеќето дистрибуции на Linux

Qualys идентификуваше ранливост (CVE-2021-4034) во системската компонента Polkit (порано PolicyKit) што се користи во дистрибуциите за да им овозможи на непривилегираните корисници да вршат дејства за кои се потребни зголемени права за пристап. Ранливоста му овозможува на непривилегираниот локален корисник да ги ескалира своите привилегии за root и да стекне целосна контрола врз системот. Проблемот беше со кодно име PwnKit и е забележлив за производство на работен експлоат кој работи во стандардната конфигурација на повеќето дистрибуции на Linux.

Проблемот е присутен во алатката pkexec на PolKit, која доаѓа со коренското знаменце SUID и е дизајнирана да извршува команди со привилегии на друг корисник според наведените правила на PolKit. Поради неправилно ракување со аргументите на командната линија предадени на pkexec, непривилегиран корисник може да ја заобиколи автентикацијата и да предизвика неговиот код да работи како root, без оглед на поставените правила за пристап. За напад, не е важно какви поставки и ограничувања се наведени во PolKit, доволно е да се постави коренскиот атрибут SUID за извршната датотека со алатката pkexec.

Pkexec не ја проверува валидноста на броењето на аргументите на командната линија (argc) поминато при започнување процес. Развивачите на pkexec претпоставуваа дека првиот запис во низата argv секогаш го содржи името на процесот (pkexec), а вториот или NULL вредност или името на командата лансирана преку pkexec. Бидејќи броењето на аргументите не беше проверено во однос на вистинската содржина на низата и се претпоставуваше дека е секогаш поголемо од 1, ако на процесот му се пренесе празна argv низа, како што дозволува функцијата Linux execve, pkexec ќе го третира NULL како прв аргумент ( името на процесот) и следниот како надвор од тампон меморијата, како последователните содржини на низата. |———+———+——+————|———+———+——+————| | аргв[0] | аргв[1] | ... | argv[argc] | envp[0] | envp[1] | ... | envp[envc] | |—-|—-+—-|—-+——+——|——|—-|—-+—-|—-+——+——|——| VVVVVV "програма" "-опција" NULL "вредност" "PATH=име" NULL

Проблемот е што по низата argv има низа envp во меморијата која содржи променливи на околината. Така, ако низата argv е празна, pkexec извлекува податоци за командата извршена со зголемени привилегии од првиот елемент на низата со променливи на околината (argv[1] стана идентична со envp[0]), чија содржина може да се контролира од страна на напаѓачот.

Откако ја доби вредноста на argv[1], pkexec се обидува, земајќи ги предвид патеките на датотеката во PATH, да ја одреди целосната патека до извршната датотека и запишува покажувач до низата со целосна патека назад до argv[1], што води до презапишување на вредноста на првата променлива на околината, бидејќи argv[1] е идентичен со envp[0]. Со манипулирање со името на првата променлива на животната средина, напаѓачот може да замени друга променлива на животната средина во pkexec, на пример, да ја замени променливата на околината „LD_PRELOAD“, која не е дозволена во програмите suid, и да организира нивната заедничка библиотека да се вчита во процес.

Работната експлоатација вклучува замена на променливата GCONV_PATH, која се користи за одредување на патеката до библиотеката за транскодирање на симболи, динамички вчитана кога се повикува функцијата g_printerr(), чиј код користи iconv_open(). Со редефинирање на патеката во GCONV_PATH, напаѓачот може да се погрижи да не е вчитана стандардната библиотека иконописи, туку неговата сопствена библиотека, ракувачите од кои ќе бидат извршени кога ќе се прикаже порака за грешка во фазата кога pkexec сè уште работи со правата на root и пред да се проверат дозволите за лансирање.

Забележано е дека и покрај фактот што проблемот е предизвикан од оштетување на меморијата, тој може сигурно и постојано да се експлоатира без оглед на користената хардверска архитектура. Подготвениот експлоат е успешно тестиран на Ubuntu, Debian, Fedora и CentOS, но може да се користи и на други дистрибуции. Оригиналниот експлоат сè уште не е јавно достапен, што покажува дека е тривијален и може лесно да се рекреира од други истражувачи, па затоа е важно ажурирањето на закрпата да се инсталира што е можно поскоро на повеќекориснички системи. Polkit е достапен и за BSD системи и Solaris, но не е проучен за употреба на нив. Она што е познато е дека нападот не може да се изврши на OpenBSD, бидејќи OpenBSD кернелот не дозволува да се пренесе null argc вредност кога се повикува execve().

Проблемот е присутен од мај 2009 година, од додавањето на командата pkexec. Поправката за ранливоста на PolKit моментално е достапна како закрпа (не е објавено издание на закрпа), но бидејќи програмерите на дистрибуцијата беа однапред известени за проблемот, повеќето дистрибуции го објавија ажурирањето истовремено со откривањето на информациите за ранливоста. Проблемот е поправен во RHEL 6/7/8, Debian, Ubuntu, openSUSE, SUSE, Fedora, ALT Linux, ROSA, Gentoo, Void Linux, Arch Linux и Manjaro. Како привремена мерка за блокирање на ранливоста, можете да го отстраните коренското знаменце SUID од програмата /usr/bin/pkexec („chmod 0755 /usr/bin/pkexec“).

Извор: opennet.ru