स्नॅप पॅकेज मॅनेजमेंट टूलकिटमध्ये स्थानिक रूट भेद्यता

क्वालिसने स्नॅप-कंफाइन युटिलिटीमध्ये दोन भेद्यता (CVE-2021-44731, CVE-2021-44730) ओळखल्या आहेत, ज्यांना SUID रूट फ्लॅगसह पुरवले गेले आहे आणि स्वयं-समाविष्ट पॅकेजेसमध्ये वितरित केलेल्या अनुप्रयोगांसाठी एक एक्झिक्यूटेबल वातावरण तयार करण्यासाठी snapd प्रक्रियेद्वारे कॉल केले आहे. स्नॅप स्वरूपात. भेद्यता स्थानिक अनप्रिव्हिलेज्ड वापरकर्त्याला सिस्टमवर रूट विशेषाधिकारांसह कोड कार्यान्वित करण्यास अनुमती देतात. उबंटू 21.10, 20.04 आणि 18.04 साठी आजच्या स्नॅपडी पॅकेज अपडेटमध्ये समस्यांचे निराकरण केले आहे.

पहिली भेद्यता (CVE-2021-44730) हार्ड लिंक मॅनिपुलेशनद्वारे आक्रमणास परवानगी देते, परंतु सिस्टम हार्ड लिंक संरक्षण अक्षम करणे आवश्यक आहे (sysctl fs.protected_hardlinks 0 वर सेट करणे). रूट म्हणून चालवल्या जाणार्‍या स्नॅप-अपडेट-एनएस आणि स्नॅप-डिस्कॉर्ड-एनएस हेल्पर प्रोग्राम्सच्या एक्झिक्यूटेबल फाइल्सच्या स्थानाच्या चुकीच्या पडताळणीमुळे समस्या उद्भवली आहे. या फाइल्सचा मार्ग sc_open_snapd_tool() फंक्शनमध्ये /proc/self/exe मधील स्वतःच्या मार्गावर आधारित मोजला गेला, जो तुम्हाला तुमच्या निर्देशिकेत snap-confine करण्यासाठी हार्ड लिंक तयार करण्यास आणि स्नॅप-च्या तुमच्या स्वतःच्या आवृत्त्या ठेवण्याची परवानगी देतो. या डिरेक्ट्रीमधील अपडेट-एनएस आणि स्नॅप-युटिलिटीज टाकून द्या. हार्ड लिंकद्वारे चालवल्यानंतर, रूट अधिकारांसह स्नॅप-कन्फाइन, आक्रमणकर्त्याद्वारे बदललेल्या, वर्तमान निर्देशिकेतून स्नॅप-अपडेट-एनएस आणि स्नॅप-डिस्कॉर्ड-एनएस फाइल्स लाँच करेल.

दुसरी असुरक्षा रेस स्थितीमुळे उद्भवते आणि डीफॉल्ट उबंटू डेस्कटॉप कॉन्फिगरेशनमध्ये शोषण केले जाऊ शकते. उबंटू सर्व्हरमध्ये शोषण यशस्वीरित्या कार्य करण्यासाठी, स्थापित करताना तुम्ही "वैशिष्ट्यीकृत सर्व्हर स्नॅप्स" विभागातील पॅकेजपैकी एक निवडणे आवश्यक आहे. स्नॅप पॅकेजसाठी माउंट पॉइंट नेमस्पेस तयार करताना कॉल केलेल्या setup_private_mount() फंक्शनमध्ये रेसची स्थिती स्पष्ट होते. हे फंक्शन तात्पुरती डिरेक्टरी “/tmp/snap.$SNAP_NAME/tmp” बनवते किंवा त्यात स्नॅप पॅकेजसाठी डिरेक्टरीज बाइंड-माउंट करण्यासाठी विद्यमान एक वापरते.

तात्पुरत्या निर्देशिकेचे नाव अंदाज करण्यायोग्य असल्याने, आक्रमणकर्ता मालकाची तपासणी केल्यानंतर, परंतु माउंट सिस्टम कॉल करण्यापूर्वी त्याची सामग्री प्रतिकात्मक दुव्यासह बदलू शकतो. उदाहरणार्थ, तुम्ही /tmp/snap.lxd डिरेक्ट्रीमध्ये एका अनियंत्रित डिरेक्टरीकडे निर्देश करणारी एक सिमलिंक "/tmp/snap.lxd/tmp" तयार करू शकता, आणि mount() वर कॉल सिमलिंकचे अनुसरण करेल आणि निर्देशिका माउंट करेल. स्नॅप नेमस्पेस. त्याच प्रकारे, तुम्ही तुमची सामग्री /var/lib मध्ये माउंट करू शकता आणि, /var/lib/snapd/mount/snap.snap-store.user-fstab बदलून, तुमच्या /etc डिरेक्ट्रीचे नेमस्पेसमध्ये माउंटिंग आयोजित करू शकता. /etc/ld.so.preload बदलून रूट अधिकारांसह तुमच्या लायब्ररीचे लोडिंग आयोजित करण्यासाठी स्नॅप पॅकेज.

हे लक्षात घेतले जाते की शोषण तयार करणे हे एक क्षुल्लक काम असल्याचे दिसून आले, कारण स्नॅप-कंफाइन युटिलिटी गो मध्ये सुरक्षित प्रोग्रामिंग तंत्र वापरून लिहिलेली आहे, त्यात AppArmor प्रोफाइलवर आधारित संरक्षण आहे, seccomp यंत्रणेवर आधारित फिल्टर सिस्टम कॉल आणि वापर अलगाव साठी माउंट नेमस्पेस. तथापि, संशोधक प्रणालीवर मूळ अधिकार मिळविण्यासाठी कार्यरत शोषण तयार करण्यास सक्षम होते. वापरकर्त्यांनी प्रदान केलेली अद्यतने स्थापित केल्यानंतर काही आठवड्यांमध्ये शोषण कोड प्रकाशित केला जाईल.

स्त्रोत: opennet.ru